CVSS: 7.5EPSS: 1%CPEs: 7EXPL: 1CVE-2007-1292 – vBulletin 3.6.4 - 'inlinemod.php?postids' SQL Injection
https://notcve.org/view.php?id=CVE-2007-1292
SQL injection vulnerability in inlinemod.php in Jelsoft vBulletin before 3.5.8, and before 3.6.5 in the 3.6.x series, might allow remote authenticated users to execute arbitrary SQL commands via the postids parameter. NOTE: the vendor states that the attack is feasible only in circumstances "almost impossible to achieve." Vulnerabilidad de inyección SQL en inlinemod.php de Jelsoft vBulletin anterior a 3.5.8, y anterior a 3.6.5 en las series 3.6.x, podría permitir a usuarios remotos autenticados ejecutar comandos SQL de su elección mediante el parámetro postids. NOTA: el vendedor afirma que el ataque es factible solamente en circunstancias "casi imposibles de conseguir". • https://www.exploit-db.com/exploits/3387 http://osvdb.org/33835 http://secunia.com/advisories/24341 http://www.securityfocus.com/bid/22780 http://www.vbulletin.com/forum/showthread.php?postid=1314422 https://exchange.xforce.ibmcloud.com/vulnerabilities/32746 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2007-0869
https://notcve.org/view.php?id=CVE-2007-0869
Cross-site scripting (XSS) vulnerability in the Attachment Manager (admincp/attachment.php) in Jelsoft vBulletin 3.6.4 allows remote attackers to inject arbitrary web script or HTML via the Extension field. NOTE: this might be a duplicate of CVE-2007-0830.5. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Una vulnerabilidad de tipo cross-site scripting (XSS) en el Attachment Manager (archivo admincp/attachment.php) en Jelsoft vBulletin versión 3.6.4, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del campo Extension. NOTA: este podría ser un duplicado de CVE-2007-0830.5. • http://osvdb.org/33129 http://secunia.com/advisories/24085 http://www.securityfocus.com/bid/22466 •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-0830
https://notcve.org/view.php?id=CVE-2007-0830
Multiple cross-site scripting (XSS) vulnerabilities in the Admin Control Panel (AdminCP) in Jelsoft vBulletin 3.6.4 allow remote authenticated administrators to inject arbitrary web script or HTML via unspecified vectors related to the (1) User Group Manager, (2) User Rank Manager, (3) User Title Manager, (4) BB Code Manager, (5) Attachment Manager, (6) Calendar Manager, and (7) Forums & Moderators functions. NOTE: the vendor disputes this issue, stating that modifying HTML is an intended privilege of an administrator. NOTE: it is possible that this issue overlaps CVE-2006-6040 ** IMPUGNADO ** Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Admin Control Panel (AdminCP) del Jelsoft vBulletin 3.6.4 permite a administradores autenticados la inyección de secuencias de comandos web o HTML de su elección mediante vectores relacionados con el (1) User Group Manager, (2) User Rank Manager, (3) User Title Manager, (4) BB Code Manager, (5) Attachment Manager, (6) Calendar Manager y (7) las funciones de los Forums & Moderators. NOTA: El fabricante a impugnado esta vulnerabilidad declarando que la modificación de HTML es un privilegio único de un administrado. NOTA: es posible que esta vulnerabilidad se solape con la CVE-2006-6040. • http://osvdb.org/35152 http://secunia.com/advisories/24085 http://www.securityfocus.com/archive/1/459289/100/0/threaded http://www.securityfocus.com/archive/1/459367/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/32268 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 22%CPEs: 8EXPL: 2CVE-2006-6779 – vBulletin 3.5.x/3.6.x - SWF Script Injection
https://notcve.org/view.php?id=CVE-2006-6779
Cross-site scripting (XSS) vulnerability in Jelsoft vBulletin allows remote attackers to inject arbitrary web script or HTML via an SWF file that uses ActionScript to trigger execution of JavaScript. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Jelsoft vBulletin permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante un archivo SWFque utiliza ActionScript para disparar la ejecución de JavaScript. • https://www.exploit-db.com/exploits/29338 http://securityreason.com/securityalert/2084 http://www.securityfocus.com/archive/1/455265/100/0/threaded http://www.securityfocus.com/archive/1/455351/100/0/threaded http://www.securityfocus.com/archive/1/455414/100/0/threaded http://www.securityfocus.com/bid/21736 https://exchange.xforce.ibmcloud.com/vulnerabilities/31119 •
CVSS: 6.8EPSS: 3%CPEs: 4EXPL: 2CVE-2006-6040 – vBulletin 3.6.x - Admin Control Panel Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2006-6040
Multiple cross-site scripting (XSS) vulnerabilities in admincp/index.php in Jelsoft vBulletin 3.6.x allow remote attackers to inject arbitrary web script or HTML via (1) the prefs parameter in a buildnavprefs action or (2) the navprefs parameter in a savenavprefs action. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en admincp/index.php de Jelsoft vBulletin 3.6.x permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro (1) prefs en una acción de tipo "buildnavprefs" (construcción de preferencias de navegación) o (2) el parámetro navprefs en una acción de tipo "savenavprefs" (guardar preferencias de navegación). • https://www.exploit-db.com/exploits/29079 http://secunia.com/advisories/23011 http://securityreason.com/securityalert/1903 http://www.securityfocus.com/archive/1/451959/100/0/threaded http://www.securityfocus.com/bid/21157 http://www.vbulletin.com/forum/showthread.php?postid=1256434 http://www.vupen.com/english/advisories/2006/4599 https://exchange.xforce.ibmcloud.com/vulnerabilities/30408 •