CVE-2008-2905 – Mambo 4.6.4 - Cache Lite Output Remote File Inclusion
https://notcve.org/view.php?id=CVE-2008-2905
PHP remote file inclusion vulnerability in includes/Cache/Lite/Output.php in the Cache_Lite package in Mambo 4.6.4 and earlier, when register_globals is enabled, allows remote attackers to execute arbitrary PHP code via a URL in the mosConfig_absolute_path parameter. Vulnerabilidad de inclusión de archivo remoto en PHP en includes/Cache/Lite/Output.php en el paquete Cache_Lite de Mambo 4.6.4 y anteriores, cuando register_globals está habilitado, permite a atacantes remotos ejecutar código PHP de su elección mediante un URL en el parámetro mosConfig_absolute_path. • https://www.exploit-db.com/exploits/9906 https://www.exploit-db.com/exploits/16912 https://www.exploit-db.com/exploits/5808 http://secunia.com/advisories/30685 http://www.securityfocus.com/bid/29716 http://www.securitytracker.com/id?1020295 https://exchange.xforce.ibmcloud.com/vulnerabilities/43101 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2008-2497
https://notcve.org/view.php?id=CVE-2008-2497
CRLF injection vulnerability in Mambo before 4.6.4 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via unspecified vectors. Vulnerabilidad de inyección CRLF en Mambo anterior a 4.6.4, permite a atacantes inyectar arbitrariamente cabeceras HTTP y llevar a cabo respuestas HTTP dividiendo ataques a través de vectores no especificados. • http://forum.mambo-foundation.org/showthread.php?t=11799 http://secunia.com/advisories/30343 http://www.securityfocus.com/bid/29373 http://www.vupen.com/english/advisories/2008/1660/references https://exchange.xforce.ibmcloud.com/vulnerabilities/42645 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2008-2498
https://notcve.org/view.php?id=CVE-2008-2498
Multiple SQL injection vulnerabilities in index.php in Mambo before 4.6.4, when magic_quotes_gpc is disabled, allow remote attackers to execute arbitrary SQL commands via the (1) articleid and (2) mcname parameters. NOTE: some of these details are obtained from third party information. Múltiples vulnerabilidades de inyección SQL en index.php en Mambo anterior a 4.6.4, cuando magic_quotes_gpc están deshabilitadas, permite a atacantes remotos ejecutar comandos SQL de su elección a través de los parámetros (1) articleid y (2)mcname. NOTA: algunos de estos detalles has sido obtenidos a partir de información de terceros. • http://forum.mambo-foundation.org/showthread.php?t=11799 http://secunia.com/advisories/30343 http://www.securityfocus.com/bid/29373 http://www.vupen.com/english/advisories/2008/1660/references https://exchange.xforce.ibmcloud.com/vulnerabilities/42644 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2007-2557
https://notcve.org/view.php?id=CVE-2007-2557
MOStlyDB Admin in Mambo 4.6.1 does not properly check privileges, which allows remote authenticated administrators to have an unknown impact via unspecified vectors. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. MOStlyDB Admin en Mambo 4.6.1 no validad de forma adecuada los privilegios, lo cual permite a administradores remotos validados tener un impacto desconocido a través de vectores no especificados. NOTA: la procedencia de esta información es desconocida; los detalles han sido obtenidos a partir de la información de terceros. • http://osvdb.org/35540 http://secunia.com/advisories/25039 •
CVE-2006-7149
https://notcve.org/view.php?id=CVE-2006-7149
Multiple cross-site scripting (XSS) vulnerabilities in Mambo 4.6.x allow remote attackers to inject arbitrary web script or HTML via (1) the query string to (a) index.php, which reflects the string in an error message from mod_login.php; and the (2) mcname parameter to (b) moscomment.php and (c) com_comment.php. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Mambo 4.6.x permite a atacantes remotos inyectar scripts web o HTML de su elección mediante (1) la cadena de consulta en (a) index.php, que refleja la cadena en un mensaje de error de mod_login.php; y el (2) parámetro mcname en (b) moscomment.php y (c) com_comment.php. • http://securityreason.com/securityalert/2379 http://www.kapda.ir/advisory-444.html http://www.securityfocus.com/archive/1/449305/100/0/threaded http://www.securityfocus.com/bid/20650 https://exchange.xforce.ibmcloud.com/vulnerabilities/29708 •