CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2008-0461 – PHP-Nuke 8.0 Final - 'sid' SQL Injection
https://notcve.org/view.php?id=CVE-2008-0461
SQL injection vulnerability in index.php in the Search module in PHP-Nuke 8.0 FINAL and earlier, when magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the sid parameter in a comments action to modules.php. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en el fichero index.php del módulo Search de PHP-Nuke 8.0 FINAL y versiones anteriores. Cuando magic_quotes_gpc está deshabilitado, permite que atacantes remotos ejecuten comandos SQL de su elección usando el parámetro sid en una acción comments en modules.php. NOTA: algunos de estos detalles han sido obtenidos de terceros. • https://www.exploit-db.com/exploits/4965 http://secunia.com/advisories/28624 http://www.securityfocus.com/bid/27408 http://www.vupen.com/english/advisories/2008/0264 https://exchange.xforce.ibmcloud.com/vulnerabilities/39850 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.1EPSS: 0%CPEs: 41EXPL: 0CVE-2007-5032
https://notcve.org/view.php?id=CVE-2007-5032
Cross-site request forgery (CSRF) vulnerability in admin.php in Francisco Burzi PHP-Nuke allows remote attackers to add administrative accounts via an AddAuthor action with modified add_name and add_radminsuper parameters. Falsificación de petición en sitios cruzados (CSRF) en admin.php de Francisco Burzi PHP-Nuke permite a atacantes remotos añadir cuentas administrativas mediante una acción AddAuthor con parámetros add_name y add_radminsuper modificados. • http://osvdb.org/42521 http://securityreason.com/securityalert/3157 http://www.securityfocus.com/archive/1/480107/100/0/threaded • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 0CVE-2007-4212
https://notcve.org/view.php?id=CVE-2007-4212
Multiple cross-site scripting (XSS) vulnerabilities in the Search Module in PHP-Nuke allow remote attackers to inject arbitrary web script or HTML via a trailing "<" instead of a ">" in (1) the onerror attribute of an IMG element, (2) the onload attribute of an IFRAME element, or (3) redirect users to other sites via the META tag. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el Módulo de búsqueda de PHP-Nuke permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante un "<" en vez de ">" al final de (1) el atribugo onerror de un elemento IMG, (2) el atributo onload de un elemento IFRAME, o (3) redireccionar usuarios a otros sitios mediante la etiqueta META. • http://osvdb.org/42538 http://securityreason.com/securityalert/2974 http://www.securityfocus.com/archive/1/475249/100/0/threaded http://www.securityfocus.com/bid/25171 •
CVSS: 4.3EPSS: 1%CPEs: 1EXPL: 2CVE-2007-1519
https://notcve.org/view.php?id=CVE-2007-1519
Cross-site scripting (XSS) vulnerability in modules.php in PHP-Nuke 8.0 and earlier allows remote attackers to inject arbitrary web script or HTML via the query parameter in a search operation in the Downloads module, a different product than CVE-2006-3948. Una vulnerabilidad de tipo Cross-site scripting (XSS) en el archivo modules.php en PHP-Nuke versión 8.0 y anteriores, permite que los atacantes remotos inyecten un script web o HTML arbitrario por medio del parámetro query en una operación search en el módulo Downloads, un producto diferente al CVE-2006- 3948. • http://phpfi.com/214668 http://secunia.com/advisories/24629 http://www.securityfocus.com/archive/1/462308/100/100/threaded http://www.ush.it/2007/03/09/php-nuke-wild-post-xss http://www.wisec.it/ush/phpnukexss.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 2%CPEs: 13EXPL: 3CVE-2007-1520
https://notcve.org/view.php?id=CVE-2007-1520
The cross-site request forgery (CSRF) protection in PHP-Nuke 8.0 and earlier does not ensure the SERVER superglobal is an array before validating the HTTP_REFERER, which allows remote attackers to conduct CSRF attacks. La protección de cross-site request forgery (CSRF) en PHP-Nuke versión 8.0 y anteriores, no garantiza que la superglobal SERVER sea una matriz antes de validar la HTTP_REFERER, que permite a los atacantes remotos realizar ataques CSRF. • http://osvdb.org/34501 http://phpfi.com/214668 http://secunia.com/advisories/24629 http://www.securityfocus.com/archive/1/462308/100/100/threaded http://www.securityfocus.com/archive/1/462575/100/0/threaded http://www.securityfocus.com/archive/1/462727/100/0/threaded http://www.ush.it/2007/03/09/php-nuke-wild-post-xss http://www.wisec.it/ush/phpnukexss.html • CWE-352: Cross-Site Request Forgery (CSRF) •