2 results (0.003 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1

index.php in Flat PHP Board 1.2 and earlier allows remote authenticated users to obtain the password for the current user account by reading the password parameter value in the HTML source for the page generated by a profile action. index.php de Flat PHP Board 1.2 y versiones anteriores permite a usuarios remotos autenticados obtener la contraseña para la cuenta actual de usuario al leer el valor del parámetro password en el código fuente HTML para la página generada por una acción profile. • https://www.exploit-db.com/exploits/4705 http://osvdb.org/44118 http://www.securityfocus.com/archive/1/484803/100/100/threaded http://www.securityfocus.com/bid/26782 • CWE-255: Credentials Management Errors •

CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 1

Direct static code injection vulnerability in index.php in Flat PHP Board 1.2 and earlier allows remote attackers to inject arbitrary PHP code via the (1) username, (2) password, and (3) email parameters when registering a user account, which can be executed by accessing the user's php file for this account. NOTE: similar code injection might be possible in a user profile. Vulnerabilidad de inyección de código estático en index.php de Flat PHP Board 1.2 y anteriores permite a atacantes remotos inyectar código PHP de su elección mediante los parámetros (1) username, (2) password, y (3) email al registrar una cuenta de usuario, el cual puede ser ejecutado para acceder el fichero php del usuario para esta cuenta. NOTA: una inyección de código similar podría ser posible en el perfil del usuario. • https://www.exploit-db.com/exploits/4705 http://osvdb.org/43675 http://www.securityfocus.com/archive/1/484803/100/100/threaded http://www.securityfocus.com/bid/26782 • CWE-94: Improper Control of Generation of Code ('Code Injection') •