CVSS: 9.8EPSS: 0%CPEs: 63EXPL: 0CVE-2010-2098
https://notcve.org/view.php?id=CVE-2010-2098
27 May 2010 — Incomplete blacklist vulnerability in usersettings.php in e107 0.7.20 and earlier allows remote attackers to conduct SQL injection attacks via the loginname parameter. Vulnerabilidad de lista negra incompleta en usersettings.php en e107 v0.7.20 y anteriores permite a atacantes remotos realizar ataques de inyección SQL a través del parámetro loginname. • http://e107.svn.sourceforge.net/viewvc/e107/trunk/e107_0.7/usersettings.php?r1=11521&r2=11538 •
CVSS: 9.8EPSS: 0%CPEs: 63EXPL: 3CVE-2010-2099 – e107 - Code Exection
https://notcve.org/view.php?id=CVE-2010-2099
27 May 2010 — bbcode/php.bb in e107 0.7.20 and earlier does not perform access control checks for all inputs that could contain the php bbcode tag, which allows remote attackers to execute arbitrary PHP code, as demonstrated using the toEmail method in contact.php, related to invocations of the toHTML method. bbcode/php.bb en e107 v0.7.20 y anteriores, no realiza una validación del control de acceso para las entradas que podrían contener la etiqueta php "bbcode", lo que permite a atacantes remotos ejecutar código PHP de ... • https://www.exploit-db.com/exploits/12715 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 2%CPEs: 66EXPL: 0CVE-2010-0996
https://notcve.org/view.php?id=CVE-2010-0996
20 Apr 2010 — Unrestricted file upload vulnerability in e107 before 0.7.20 allows remote authenticated users to execute arbitrary code by uploading a .php.filetypesphp file. NOTE: the vendor disputes the significance of this issue, noting that "an odd set of preferences and a missing file" are required. Vulnerabilidad de subida de fichero sin restricciones en e107 en versiones anteriores a la v0.7.20. Permite a usuarios remotos autenticados ejecutar comandos de su elección subiendo un fichero .php.filetypesphp. NOTA: el ... • http://e107.org/comment.php?comment.news.864 •
CVSS: 5.4EPSS: 0%CPEs: 20EXPL: 0CVE-2010-0997
https://notcve.org/view.php?id=CVE-2010-0997
20 Apr 2010 — Cross-site scripting (XSS) vulnerability in 107_plugins/content/content_manager.php in the Content Management plugin in e107 before 0.7.20, when the personal content manager is enabled, allows user-assisted remote authenticated users to inject arbitrary web script or HTML via the content_heading parameter. Vulnerabilidad de secuencias de comandos en sitios cruzados en 107_plugins/content/content_manager.php en el complemento -plugin- Content Management de e107 anterior a v0.7.20, cuando el gestor de conteni... • http://e107.org/comment.php?comment.news.864 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 58EXPL: 0CVE-2009-4083
https://notcve.org/view.php?id=CVE-2009-4083
27 Nov 2009 — Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.16 and earlier allow remote attackers to inject arbitrary web script or HTML via unspecified vectors in (1) submitnews.php, (2) usersettings.php; and (3) newpost.php, (4) banlist.php, (5) banner.php, (6) cpage.php, (7) download.php, (8) users_extended.php, (9) frontpage.php, (10) links.php, and (11) mailout.php in e107_admin/. NOTE: this may overlap CVE-2004-2040 and CVE-2006-4794, but there are insufficient details to be certain. Múltiples vul... • http://blog.bkis.com/e107-multiple-vulnerabilities • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 58EXPL: 0CVE-2009-4084
https://notcve.org/view.php?id=CVE-2009-4084
27 Nov 2009 — SQL injection vulnerability in the search feature in e107 0.7.16 and earlier allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en la característica de búsqueda en e107 v0.7.16 y anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través de vectores vectores no especificados. • http://blog.bkis.com/e107-multiple-vulnerabilities • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 58EXPL: 2CVE-2009-3444 – e107 0.7.16 - Referer header Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2009-3444
28 Sep 2009 — Cross-site scripting (XSS) vulnerability in email.php in e107 0.7.16 and earlier allows remote attackers to inject arbitrary web script or HTML via the HTTP Referer header in a news.1 (aka news to email) action. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en email.php en e107 v0.7.16 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de la cabecera HTTP Referer en una acción news.1 (también conocida como noticias (n... • https://www.exploit-db.com/exploits/9825 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 68EXPL: 1CVE-2009-1409 – e107 < 0.7.15 - 'extended_user_fields' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2009-1409
24 Apr 2009 — SQL injection vulnerability in usersettings.php in e107 0.7.15 and earlier, when "Extended User Fields" is enabled and magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the hide parameter, a different vector than CVE-2005-4224 and CVE-2008-5320. Una vulnerabilidad de inyección de SQL en usersettings.php en e107 v0.7.15 y anteriores, cuando la opción "Campos de usuario extendidos" está activado y magic_quotes_gpc está desactivado, permite a atacantes remotos ejecutar... • https://www.exploit-db.com/exploits/8495 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 56EXPL: 2CVE-2008-5320 – e107 < 0.7.13 - 'usersettings.php' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2008-5320
03 Dec 2008 — SQL injection vulnerability in usersettings.php in e107 0.7.13 and earlier allows remote authenticated users to execute arbitrary SQL commands via the ue[] parameter. Vulnerabilidad de inyección SQL en el archivo usersettings.php en e107 0.7.13 y versiones anteriores, permite a los usuarios remotos autentificados ejecutar arbitrariamente comandos SQL a través del parámetro ue[]. • https://www.exploit-db.com/exploits/6791 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 2%CPEs: 9EXPL: 1CVE-2007-3429 – e107 < 0.7.8 - 'photograph' Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2007-3429
27 Jun 2007 — Unrestricted file upload vulnerability in signup.php in e107 0.7.8 and earlier, when photograph upload is enabled, allows remote attackers to upload and execute arbitrary PHP code via a filename with a double extension such as .php.jpg. Vulnerabilidad de subida de fichero no restringida en signup.php de e107 0.7.8 y anteriores, cuando la subida de fotografías está habilitada, permite a atacantes remotos subir y ejecutar código PHP de su elección mediante un nombre de fichero con una extensión doble como .ph... • https://www.exploit-db.com/exploits/4099 •