CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2014-5017
https://notcve.org/view.php?id=CVE-2014-5017
SQL injection vulnerability in CPDB in application/controllers/admin/participantsaction.php in LimeSurvey 2.05+ Build 140618 allows remote attackers to execute arbitrary SQL commands via the sidx parameter in a JSON request to admin/participants/sa/getParticipants_json, related to a search parameter. Vulnerabilidad de inyección SQL en CPDB en application/controllers/admin/participantsaction.php en LimeSurvey 2.05+ Build 140618 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro sidx en una solicitud JSON en admin/participants/sa/getParticipants_json, relacionado con un parámetro de búsqueda. • http://packetstormsecurity.com/files/127369/Lime-Survey-2.05-Build-140618-XSS-SQL-Injection.html https://github.com/LimeSurvey/LimeSurvey/commit/9938bcd1df8ea27052557c722a67b00c0e7d6cb6 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2014-5018
https://notcve.org/view.php?id=CVE-2014-5018
Incomplete blacklist vulnerability in the autoEscape function in common_helper.php in LimeSurvey 2.05+ Build 140618 allows remote attackers to conduct cross-site scripting (XSS) attacks via the GBK charset in the loadname parameter to index.php, related to the survey resume. Vulnerabilidad de lista negra incompleta en la función autoEscape en common_helper.php en LimeSurvey 2.05+ Build 140618 permite a atacantes remotos realizar ataques de XSS a través del juego de caracteres GBK en el parámetro loadname en index.php, relacionado con el resumen de encuestas. • http://packetstormsecurity.com/files/127369/Lime-Survey-2.05-Build-140618-XSS-SQL-Injection.html https://github.com/LimeSurvey/LimeSurvey/commit/3a6dd6b44cef2fa3f96f403e1cb971d8d0d694b5 •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2014-5016
https://notcve.org/view.php?id=CVE-2014-5016
Multiple cross-site scripting (XSS) vulnerabilities in LimeSurvey 2.05+ Build 140618 allow remote attackers to inject arbitrary web script or HTML via (1) the pid attribute to the getAttribute_json function to application/controllers/admin/participantsaction.php in CPDB, (2) the sa parameter to application/views/admin/globalSettings_view.php, or (3) a crafted CSV file to the "Import CSV" functionality. Múltiples vulnerabilidades de XSS en LimeSurvey 2.05+ Build 140618 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de (1) el atributo pid en la función getAttribute_json en application/controllers/admin/participantsaction.php en CPDB, (2) el parámetro sa en application/views/admin/globalSettings_view.php o (3) un fichero CSV manipulado en la funcionalidad 'Import CSV'. • http://packetstormsecurity.com/files/127369/Lime-Survey-2.05-Build-140618-XSS-SQL-Injection.html https://github.com/LimeSurvey/LimeSurvey/commit/d23fbbd6c8434169967cf8bd2c5a4a0b569c352a • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 2.6EPSS: 0%CPEs: 15EXPL: 0CVE-2011-5256
https://notcve.org/view.php?id=CVE-2011-5256
Cross-site scripting (XSS) vulnerability in the tooltips in LimeSurvey before 1.91+ Build 11379-20111116, when viewing survey results, allows remote attackers to inject arbitrary web script or HTML via unknown parameters. Vulnerabilidad de ejecución de comandos en sitio remoto (XSS) en la información sobre herramientas de LimeSurvey v1.91 + Build antes de 11379-20111116, al ver los resultados de la encuesta, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros desconocidos. • http://limesurvey.svn.sourceforge.net/viewvc/limesurvey/source/limesurvey/docs/release_notes.txt?view=markup http://secunia.com/advisories/46831 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4994
https://notcve.org/view.php?id=CVE-2012-4994
SQL injection vulnerability in admin/admin.php in LimeSurvey before 1.91+ Build 120224 allows remote authenticated users to execute arbitrary SQL commands via the id parameter in a browse action. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en admin/admin.php en LimeSurvey anterior a v1.91+ Build 120224, permite a atacantes remotos autenticados ejecutar comandos SQL de su elección a través del parámetro "id" en una acción de navegación. NOTA: algunos de estos detalles han sido obtenidos a partir de información de terceros. • http://freecode.com/projects/limesurvey/releases/342070 http://osvdb.org/79688 http://secunia.com/advisories/48184 http://www.limesurvey.org/en/stable-release https://exchange.xforce.ibmcloud.com/vulnerabilities/73564 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •