CVSS: 6.0EPSS: 1%CPEs: 1EXPL: 1CVE-2008-6584
https://notcve.org/view.php?id=CVE-2008-6584
html/index.php in TorrentFlux 2.3 allows remote authenticated users to execute arbitrary code via a URL with a file containing an executable extension in the url_upload parameter, which is downloaded by TorrentFlux and can be accessed via a direct request in a html/downloads/ user directory. html/index.php en TorrentFlux v2.3 permite a usuarios remotos autenticados ejecutar código de forma arbitraria a través de una URL con un fichero que contiene una extensión ejecutable en el parámetro "url_upload", que es descargado por TorrentFlux y puede ser accedido a través de una petición directa en el directorio de usuario html/downloads/ • http://osvdb.org/44645 http://secunia.com/advisories/29935 http://www.securityfocus.com/archive/1/491066/100/0/threaded http://www.securityfocus.com/bid/28846 https://exchange.xforce.ibmcloud.com/vulnerabilities/41925 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.8EPSS: 1%CPEs: 1EXPL: 2CVE-2008-6585 – TorrentFlux 2.3 - 'admin.php' Cross-Site Request Forgery (Add Admin)
https://notcve.org/view.php?id=CVE-2008-6585
Cross-site request forgery (CSRF) vulnerability in html/admin.php in TorrentFlux 2.3 allows remote attackers to hijack the authentication of administrators for requests that add new accounts via the addUser action. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en html/admin.php en TorrentFlux v2.3 permite a atacantes remotos secuestrar la autenticación de los administradores para realizar peticiones que añadan nuevas cuentas a través de la acción "addUser". • https://www.exploit-db.com/exploits/31671 http://osvdb.org/44646 http://secunia.com/advisories/29935 http://www.securityfocus.com/archive/1/491066/100/0/threaded http://www.securityfocus.com/bid/28846 https://exchange.xforce.ibmcloud.com/vulnerabilities/41926 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0CVE-2008-2020
https://notcve.org/view.php?id=CVE-2008-2020
The CAPTCHA implementation as used in (1) Francisco Burzi PHP-Nuke 7.0 and 8.1, (2) my123tkShop e-Commerce-Suite (aka 123tkShop) 0.9.1, (3) phpMyBitTorrent 1.2.2, (4) TorrentFlux 2.3, (5) e107 0.7.11, (6) WebZE 0.5.9, (7) Open Media Collectors Database (aka OpenDb) 1.5.0b4, and (8) Labgab 1.1 uses a code_bg.jpg background image and the PHP ImageString function in a way that produces an insufficient number of different images, which allows remote attackers to pass the CAPTCHA test via an automated attack using a table of all possible image checksums and their corresponding digit strings. La implementación CAPTCHA como se utiliza en (1) Francisco Burzi PHP-Nuke 7.0 y 8.1, (2) my123tkShop e-Commerce-Suite (también conocido como 123tkShop) 0.9.1, (3) phpMyBitTorrent 1.2.2, (4) TorrentFlux 2.3, (5) e107 0.7.11, (6) WebZE 0.5.9, (7) Open Media Collectors Database (también conocido como OpenDb) 1.5.0b4, y (8) Labgab 1.1; utiliza una imagen de fondo code_bg.jpg y la función de PHP ImageString de una forma que no produce un número suficiente de imágenes diferentes; esto permite a atacantes remotos pasar el test CAPTCHA mediante un ataque automático utilizando una tabla con todas las sumas de validación (checksum) de imágenes posibles y sus cadenas de dígitos correspondientes. • http://securityreason.com/securityalert/3834 http://www.rooksecurity.com/blog/?p=6 http://www.securityfocus.com/archive/1/491127/100/0/threaded http://www.securityfocus.com/bid/28877 https://exchange.xforce.ibmcloud.com/vulnerabilities/42152 • CWE-330: Use of Insufficiently Random Values •