CVE-2012-2936
https://notcve.org/view.php?id=CVE-2012-2936
Multiple cross-site scripting (XSS) vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to inject arbitrary web script or HTML via the (1) user or (2) page parameter to (a) admin/admin_comments.php or (b) admin/admin_links.php; or list parameter in a (3) move or (4) minimize action to (c) admin/admin_index.php. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Pligg CMS anterior a v1.2.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través (1) usuario o (2) parámetro de la página (a) admin/admin_comments.php o (b) admin/admin_links.php; o lista de parámetros en (3) mover o (4) acción de reducir en (c) admin/admin_index.php. • http://forums.pligg.com/downloads.php?do=file&id=15 http://osvdb.org/82044 http://osvdb.org/82045 http://pligg.svn.sourceforge.net/viewvc/pligg?view=revision&revision=2461 http://secunia.com/advisories/45431 http://secunia.com/secunia_research/2012-18 http://www.securityfocus.com/bid/53625 https://exchange.xforce.ibmcloud.com/vulnerabilities/75764 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-2937
https://notcve.org/view.php?id=CVE-2012-2937
Multiple SQL injection vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to execute arbitrary SQL commands via the (1) list parameter in a move action to admin/admin_index.php, (2) display parameter in a minimize action to admin/admin_index.php, (3) enabled[] parameter to admin/admin_users.php, or (4) msg_id to the module.php in the simple_messaging module. Múltiples vulnerabilidades de inyección SQL en Pligg CMS anterior a v1.2.2 permite a atacantes remotos ejecutar comandos arbitrarios SQL a través de la lista de parámetros (1) en una (move action) de admin/ admin_index.php, (2) parámetro de visualización en una (minimize action) de admin/admin_index.php, (3) parámetro enabled[] para admin/admin_users.php, o (4) msg_id en module.php en el módulo de simple_messaging. • http://forums.pligg.com/downloads.php?do=file&id=15 http://osvdb.org/82048 http://osvdb.org/82049 http://osvdb.org/82050 http://pligg.svn.sourceforge.net/viewvc/pligg?view=revision&revision=2461 http://secunia.com/advisories/45431 http://secunia.com/secunia_research/2012-19 http://www.securityfocus.com/bid/53625 https://exchange.xforce.ibmcloud.com/vulnerabilities/75765 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2012-2435 – Pligg CMS 1.2.1 Cross Site Scripting / Local File Inclusion
https://notcve.org/view.php?id=CVE-2012-2435
Directory traversal vulnerability in the captcha module in Pligg CMS before 1.2.2 allows remote authenticated users to include and execute arbitrary local files via a .. (dot dot) in the captcha parameter to module.php, as demonstrated by cross-site request forgery (CSRF) attacks. Vulnerabilidad de directorio transversal en el módulo captcha en Pligg CMS anterior a v1.2.2 permite a usuarios remotos autenticados incluir y ejecutar ficheros locales arbitrarios a través de .. (punto punto) en el parámetro captcha en module.php, como lo demuestra los ataques de solicitud falsificada a través de sitios cruzados (CSRF). Pligg CMS version 1.2.1 suffers from cross site scripting and local file inclusion vulnerabilities. • http://forums.pligg.com/downloads.php?do=file&id=15 http://pligg.svn.sourceforge.net/viewvc/pligg?view=revision&revision=2440 https://www.htbridge.com/advisory/HTB23089 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2012-2436 – Pligg CMS 1.x - 'module.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2012-2436
Multiple cross-site scripting (XSS) vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to inject arbitrary web script or HTML via (1) an arbitrary parameter in a move or (2) minimize action to admin/admin_index.php; (3) the karma_username parameter to module.php in the karma module; (4) q_1_low, (5) q_1_high, (6) q_2_low, or (7) q_2_high parameter in a configure action to module.php in the captcha module; or (8) the edit parameter to module.php in the admin_language module. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Pligg CMS anterior a v1.2.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) un parámetro arbitrario en un movimiento o (2) acción de minimizar a admin/admin_index.php; (3) el parámetro karma_username a module.php en el módulo karma; (4) q_1_low, (5) q_1_high, (6) q_2_low, or (7) parámetro q_2_high en una acción de configuración para module.php en el módulo de captcha, o (8) el parámetro de edición para module.php en el módulo de admin_language. Pligg CMS version 1.2.1 suffers from cross site scripting and local file inclusion vulnerabilities. • https://www.exploit-db.com/exploits/37311 http://forums.pligg.com/downloads.php?do=file&id=15 http://pligg.svn.sourceforge.net/viewvc/pligg/trunk/modules/admin_language/admin_language_main.php?r1=2442&r2=2441&pathrev=2442 http://pligg.svn.sourceforge.net/viewvc/pligg?view=revision&revision=2440 http://pligg.svn.sourceforge.net/viewvc/pligg?view=revision&revision=2441 http://pligg.svn.sourceforge.net/viewvc/pligg? • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-5022 – Pligg CMS 1.1.2 - 'status' SQL Injection
https://notcve.org/view.php?id=CVE-2011-5022
SQL injection vulnerability in search.php in Pligg CMS 1.1.2 allows remote attackers to execute arbitrary SQL commands via the status parameter. Vulnerabilidad de inyección SQL en search.php en Pligg CMS v1.1.2 permite a atacantes remotos ejecutar comandos SQL a través del parámetro de estado. • https://www.exploit-db.com/exploits/36495 http://pligg.svn.sourceforge.net/viewvc/pligg/trunk/search.php?r1=2255&r2=2254&pathrev=2255 https://sitewat.ch/Advisory/View/5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •