Page 19 of 115 results (0.008 seconds)

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 3

CVE-2009-4813 – MyBB 1.4.10 - 'myps.php' Cross-Site Scripting

https://notcve.org/view.php?id=CVE-2009-4813

Cross-site scripting (XSS) vulnerability in myps.php in MyBB (aka MyBulletinBoard) 1.4.10 allows remote attackers to inject arbitrary web script or HTML via the username parameter in a donate action. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en myps.php en MyBB (también conocido como MyBulletinBoard) 1.4.10 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro "username" en una acción "donate". • https://www.exploit-db.com/exploits/33439 http://osvdb.org/61298 http://secunia.com/advisories/37910 http://www.exploit-db.com/exploits/10622 http://www.securityfocus.com/bid/37464 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 2%CPEs: 1EXPL: 0

CVE-2009-4448

https://notcve.org/view.php?id=CVE-2009-4448

inc/functions_time.php in MyBB (aka MyBulletinBoard) 1.4.10, and possibly earlier versions, allows remote attackers to cause a denial of service (CPU consumption) via a crafted request with a large year value, which triggers a long loop, as reachable through member.php and possibly other vectors. inc/functions_time.php en MyBB (alias MyBulletinBoard) v1.4.10, y posiblemente versiones anteriores, permite a atacantes remotos provocar una denegación de servicio (consumo de CPU) mediante una solicitud elaborada con un gran valor para el año, lo que dispara un bucle largo, como puede conseguirse a través de member.php y posiblemente otros vectores. • http://blog.mybboard.net/2009/12/29/mybb-1-4-11-released-minor-patch-security-update http://dev.mybboard.net/issues/600 http://dev.mybboard.net/projects/mybb/repository/revisions/4613/diff/branches/1.4-stable/inc/functions_time.php http://openwall.com/lists/oss-security/2010/10/08/7 http://openwall.com/lists/oss-security/2010/10/11/8 http://openwall.com/lists/oss-security/2010/12/06/2 http://secunia.com/advisories/37906 • CWE-399: Resource Management Errors •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2

CVE-2009-4449

https://notcve.org/view.php?id=CVE-2009-4449

Directory traversal vulnerability in MyBB (aka MyBulletinBoard) 1.4.10, and possibly earlier versions, when changing the user avatar from the gallery, allows remote authenticated users to determine the existence of files via directory traversal sequences in the avatar and possibly the gallery parameters, related to (1) admin/modules/user/users.php and (2) usercp.php. Vulnerabilidad de salto de directorio en MyBB (MyBulletinBoard) v1.4.10, y posiblemente versiones anteriores. Cuando se cambia el avatar de usuario desde la galería, permite a usuarios remotos autenticados determinar la existencia de ficheros a través de secuencias de salto de directorio en el avatar y posiblemente los parámetros de la galería. Relacionado con (1) admin/modules/user/users.php y (2) usercp.php. • http://blog.mybboard.net/2009/12/29/mybb-1-4-11-released-minor-patch-security-update http://dev.mybboard.net/issues/617 http://dev.mybboard.net/projects/mybb/repository/revisions/4663/diff/branches/1.4-stable/admin/modules/user/users.php http://dev.mybboard.net/projects/mybb/repository/revisions/4663/diff/branches/1.4-stable/usercp.php http://openwall.com/lists/oss-security/2010/10/08/7 http://openwall.com/lists/oss-security/2010/10/11/8 http://openwall.com/lists&#x • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0

CVE-2008-7082

https://notcve.org/view.php?id=CVE-2008-7082

MyBB (aka MyBulletinBoard) 1.4.3 includes the sensitive my_post_key parameter in URLs to moderation.php with the (1) mergeposts, (2) split, and (3) deleteposts actions, which allows remote attackers to steal the token and bypass the cross-site request forgery (CSRF) protection mechanism to hijack the authentication of moderators by reading the token from the HTTP Referer header. MyBB (también conocido como MyBulletinBoard) v1.4.3 incluye el parámetro "my_post_key" en URLs en moderation.php con las acciones (1) "mergeposts", (2) "split", y (3) "deleteposts", lo que permitiría a atacantes remotos robar la credencial de autenticación y evitar la protección de falsificación de petición en sitios cruzados (CSRF) y secuestrar la autenticación de los moderadores mediante la lectura de la credencial de autenticación de la cabecera HTTP. • http://osvdb.org/50275 http://secunia.com/advisories/32880 http://www.securityfocus.com/archive/1/498630/100/0/threaded http://www.securityfocus.com/bid/32467 https://exchange.xforce.ibmcloud.com/vulnerabilities/46885 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

CVE-2008-4930

https://notcve.org/view.php?id=CVE-2008-4930

MyBB (aka MyBulletinBoard) 1.4.2 does not properly handle an uploaded file with a nonstandard file type that contains HTML sequences, which allows remote attackers to cause that file to be processed as HTML by Internet Explorer's content inspection, aka "Incomplete protection against MIME-sniffing." NOTE: this could be leveraged for XSS and other attacks. MyBB (también conocido como MyBulletinBoard) v1.4.2 no maneja de forma adecuada un fichero que se haya subido y que sea de un tipo no estándar que contenga secuencias HTML; esto permite a atacantes remotos provocar que el fichero sea procesado como un HTML por las inspecciones de contenidos de Internet Explorer. También se conoce como "Protección incompleta contra MIME-sniffing". NOTA: Esto podría ser utilizado para XSS y otro tipo de ataques. • http://archives.neohapsis.com/archives/bugtraq/2008-10/0203.html http://archives.neohapsis.com/archives/fulldisclosure/2008-10/0472.html http://www.openwall.com/lists/oss-security/2008/11/01/2 • CWE-20: Improper Input Validation •