CVE-2008-7221
https://notcve.org/view.php?id=CVE-2008-7221
Cross-site request forgery (CSRF) vulnerability in RunCMS 1.6.1 allows remote attackers to hijack the authentication of administrators for requests that (1) add new administrators or (2) modify user profiles via a crafted request to system/admin.php. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en RunCMS v1.6.1, permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que (1) añadan nuevos administradores o (2) modifiquen perfiles de usuario a través de peticiones manipuladas sobre system/admin.php. • http://www.securityfocus.com/archive/1/488287/100/200/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/40628 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2008-7222 – RunCMS 1.6.1 - 'admin.php' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2008-7222
Cross-site scripting (XSS) vulnerability in system/admin.php in RunCMS 1.6.1 allows remote attackers to inject arbitrary web script or HTML via the rank_title parameter in a RankForumAdd action. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en system/admin.php de RunCMS v1.6.1, permite a atacantes remotos inyectar secuencias de comandos Web o HTML de su elección a través de un parámetro rank_title en una acción RankForumAdd. • https://www.exploit-db.com/exploits/31225 http://www.securityfocus.com/archive/1/488287/100/200/threaded http://www.securityfocus.com/bid/27852 https://exchange.xforce.ibmcloud.com/vulnerabilities/40630 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-3354 – RunCMS 1.6.1 - 'bbPath[path]' Remote File Inclusion
https://notcve.org/view.php?id=CVE-2008-3354
Multiple PHP remote file inclusion vulnerabilities in the Newbb Plus (newbb_plus) module 0.93 in RunCMS 1.6.1 allow remote attackers to execute arbitrary PHP code via a URL in the (1) bbPath[path] parameter to votepolls.php and the (2) bbPath[root_theme] parameter to config.php, different vectors than CVE-2006-0659. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Múltiples vulnerabilidades de inclusión remota de fichero PHP en el módulo Newbb Plus (newbb_plus) 0.93 en RunCMS 1.6.1, permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en los parámetros 1) bbPath[path] a votepolls.php y (2) bbPath[root_theme] a config.php, diferentes vectores que los de CVE-2006-0659. NOTA: el origen de esta información es desconocido. Los detalles han sido obtenidos de terceros. • https://www.exploit-db.com/exploits/32099 https://www.exploit-db.com/exploits/32100 http://www.securityfocus.com/bid/30331 http://www.securityfocus.com/bid/30331/exploit https://exchange.xforce.ibmcloud.com/vulnerabilities/43969 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2008-1551 – RunCMS Module Photo 3.02 - 'cid' SQL Injection
https://notcve.org/view.php?id=CVE-2008-1551
SQL injection vulnerability in viewcat.php in the Photo 3.02 module for RunCMS allows remote attackers to execute arbitrary SQL commands via the cid parameter. Vulnerabilidad de inyección SQL en viewcat.php del módulo Photo 3.02 para RunCMS permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro cid. • https://www.exploit-db.com/exploits/5290 http://secunia.com/advisories/29513 http://www.securityfocus.com/bid/28395 https://exchange.xforce.ibmcloud.com/vulnerabilities/41378 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-1462 – RunCMS Module section - 'artid' SQL Injection
https://notcve.org/view.php?id=CVE-2008-1462
SQL injection vulnerability in the sections (Section) module in RunCMS allows remote attackers to execute arbitrary SQL commands via the artid parameter in a viewarticle action. Vulnerabilidad de inyección SQL en el módulo secciones (Section) de RunCMS permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro artid en una acción viewarticle. • https://www.exploit-db.com/exploits/5285 http://www.securityfocus.com/bid/28378 https://exchange.xforce.ibmcloud.com/vulnerabilities/41377 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •