CVE-2008-7226 – PHP-Nuke Recipe Module 1.3 - 'recipeid' SQL Injection
https://notcve.org/view.php?id=CVE-2008-7226
SQL injection vulnerability in index.php in the Recipes module 1.3, 1.4, and possibly other versions for PHP-Nuke allows remote attackers to execute arbitrary SQL commands via the recipeid parameter. Vulnerabilidad de inyección SQL en index.php en el módulo Recipes v1.3, v1.4, y posiblemente otras versiones para PHP Nuke, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "recipeid". • https://www.exploit-db.com/exploits/31287 http://osvdb.org/52224 http://www.securityfocus.com/archive/1/488649/100/100/threaded http://www.securityfocus.com/bid/27955 https://exchange.xforce.ibmcloud.com/vulnerabilities/40807 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-6865
https://notcve.org/view.php?id=CVE-2008-6865
SQL injection vulnerability in modules.php in the Sectionsnew module for PHP-Nuke allows remote attackers to execute arbitrary SQL commands via the artid parameter in a printpage action. Vulnerabilidad de inyección de SQL en modules.php en el módulo Sectionsnew para PHP-Nuke permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro artid en una acción printpage. • http://osvdb.org/51890 http://www.securityfocus.com/archive/1/497939/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/51735 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-5039 – PHP-Nuke Nuke League Module - 'tid' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2008-5039
Cross-site scripting (XSS) vulnerability in the League module for PHP-Nuke, possibly 2.4, allows remote attackers to inject arbitrary web script or HTML via the tid parameter in a team action to modules.php. Vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en el módulo League para PHP-Nuke, puede que en v2.4; permite a atacantes remotos inyectar secuencias de comandos Web o HTML de su elección a través del parámetro tid en una acción de equipo en modules.php. • https://www.exploit-db.com/exploits/32538 http://securityreason.com/securityalert/4575 http://www.securityfocus.com/archive/1/497855/100/0/threaded http://www.securityfocus.com/bid/31952 https://exchange.xforce.ibmcloud.com/vulnerabilities/46154 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-4767 – PHP-Nuke DownloadsPlus Module - Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2008-4767
Unrestricted file upload vulnerability in the DownloadsPlus module in PHP-Nuke allows remote attackers to execute arbitrary code by uploading a file with (1) .htm, (2) .html, or (3) .txt extensions, then accessing it via a direct request to the file. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. NOTE: it is unclear how allowing the upload of .html or .txt files supports arbitrary code execution; this might be legitimate functionality. Vulnerabilidad de subida de fichero sin restricción en el módulo DownloadsPlus en PHP-Nuke, permite a atacantes remotos ejecutar código de su elección a través la subida de ficheros con la extensión (1) .htm, (2) .html, o (3) .txt y después accediendo a ellos mediante una petición directa al archivo. NOTA: el origen de esta información es desconocido. • https://www.exploit-db.com/exploits/31702 http://www.juniper.net/security/auto/vulnerabilities/vuln28919.html http://www.securityfocus.com/bid/28919 https://exchange.xforce.ibmcloud.com/vulnerabilities/42007 • CWE-20: Improper Input Validation •
CVE-2008-3573 – Pligg CMS 9.9.5 - 'CAPTCHA' Registration Automation Security Bypass
https://notcve.org/view.php?id=CVE-2008-3573
The CAPTCHA implementation in (1) Pligg 9.9.5 and possibly (2) Francisco Burzi PHP-Nuke 8.1 provides a critical random number (the ts_random value) within the URL in the SRC attribute of an IMG element, which allows remote attackers to pass the CAPTCHA test via a calculation that combines this value with the current date and the HTTP User-Agent string. La implementación CAPTCHA en (1) Pligg 9.9.5 y posiblemente (2) Francisco Burzi PHP-Nuke 8.1, proporciona un número aleatorio crítico (el valor del ts_random) dentro de la URL en el traibuto SRC de un elemento IMG, lo que permite a atacantes remotos evitar el test CAPTCHA mediante un cálculo que combina ese valor con la fecha actual y la cadena HTTP del User-Agent. • https://www.exploit-db.com/exploits/32142 http://www.rooksecurity.com/blog/?p=17 http://www.securityfocus.com/bid/30518 https://exchange.xforce.ibmcloud.com/vulnerabilities/44192 • CWE-189: Numeric Errors CWE-264: Permissions, Privileges, and Access Controls •