CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2005-4891 – Simple Machines Forum (SMF) 1.0.4 - 'modify' SQL Injection
https://notcve.org/view.php?id=CVE-2005-4891
15 Jan 2020 — Simple Machine Forum (SMF) versions 1.0.4 and earlier have an SQL injection vulnerability that allows remote attackers to inject arbitrary SQL statements. Simple Machine Forum (SMF) versiones 1.0.4 y anteriores, presentan una vulnerabilidad de inyección SQL que permite a atacantes remotos inyectar sentencias SQL arbitrarias. • https://www.exploit-db.com/exploits/1057 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2013-7466
https://notcve.org/view.php?id=CVE-2013-7466
07 Mar 2019 — Simple Machines Forum (SMF) 2.0.4 allows local file inclusion, with resultant remote code execution, in install.php via ../ directory traversal in the db_type parameter if install.php remains present after installation. Simple Machines Forum (SMF), en su versión 2.0.4, permite la inclusión local de archivos con una ejecución remota de código resultante en install.php mediante el salto de directorio ../ en el parámetro db_type si install.php está presente después de la instalación. • http://hauntit.blogspot.com/2013/04/en-smf-204-full-disclosure.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2013-7467
https://notcve.org/view.php?id=CVE-2013-7467
07 Mar 2019 — Simple Machines Forum (SMF) 2.0.4 allows XSS via the index.php?action=pm;sa=settings;save sa parameter. Simple Machines Forum (SMF), en su versión 2.0.4, permite Cross-Site Scripting (XSS) mediante el parámetro sa en index.php?action=pm;sa=settings;save. • http://hauntit.blogspot.com/2013/04/en-smf-204-full-disclosure.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2013-7468
https://notcve.org/view.php?id=CVE-2013-7468
07 Mar 2019 — Simple Machines Forum (SMF) 2.0.4 allows PHP Code Injection via the index.php?action=admin;area=languages;sa=editlang dictionary parameter. Simple Machines Forum (SMF), en su versión 2.0.4, permite la inyección de código PHP mediante el parámetro dictionary en index.php?action=admin;area=languages;sa=editlang. • https://packetstormsecurity.com/files/121391/public_phpInjection-smf204.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-10305
https://notcve.org/view.php?id=CVE-2018-10305
24 Apr 2018 — The MessageSearch2 function in PersonalMessage.php in Simple Machines Forum (SMF) before 2.0.15 does not properly use the possible_users variable in a query, which might allow attackers to bypass intended access restrictions. La función MessageSearch2 en PersonalMessage.php en Simple Machines Forum (SMF), en versiones anteriores a la 2.0.15, no emplea correctamente la variable possible_users en una consulta, lo que podría permitir que los atacantes omitan las restricciones de acceso planeadas. • https://www.simplemachines.org/community/index.php?topic=557176.0 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5726
https://notcve.org/view.php?id=CVE-2016-5726
09 Feb 2017 — Packages.php in Simple Machines Forum (SMF) 2.1 allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via the themechanges array parameter. Packages.php en Simple Machines Forum (SMF) 2.1 permite a atacantes remotos llevar a cabo ataques de inyección de objetos PHP y ejecutar código PHP arbitrario a través del parámetro de array themechanges. • http://www.openwall.com/lists/oss-security/2016/06/10/7 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5727
https://notcve.org/view.php?id=CVE-2016-5727
09 Feb 2017 — LogInOut.php in Simple Machines Forum (SMF) 2.1 allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via vectors related to variables derived from user input in a foreach loop. LogInOut.php en Simple Machines Forum (SMF) 2.1 permite a atacantes remotos llevar a cabo ataques de inyección de objetos PHP y ejecutar código PHP arbitrario a través de vectores relacionados con las variables derivadas de la entrada del usuario en un bucle foreach. • http://www.openwall.com/lists/oss-security/2016/06/10/7 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.3EPSS: 0%CPEs: 71EXPL: 0CVE-2013-7234
https://notcve.org/view.php?id=CVE-2013-7234
29 Apr 2014 — Simple Machines Forum (SMF) before 1.1.19 and 2.x before 2.0.6 allows remote attackers to conduct clickjacking attacks via an X-Frame-Options header. Simple Machines Forum (SMF) anterior a 1.1.19 y 2.x anterior a 2.0.6 permite a atacantes remotos realizar ataques de clickjacking a través de una cabecera X-Frame-Options. • http://download.simplemachines.org/index.php?thanks%3Bfilename=smf_2-0-6_changelog.txt • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 71EXPL: 0CVE-2013-7235
https://notcve.org/view.php?id=CVE-2013-7235
29 Apr 2014 — Simple Machines Forum (SMF) before 1.1.19 and 2.x before 2.0.6 allows remote attackers to impersonate arbitrary users via multiple space characters characters. Simple Machines Forum (SMF) anterior a 1.1.19 y 2.x anterior a 2.0.6 permite a atacantes remotos suplantar usuarios arbitrarios a través de múltiples caracteres de espacio. • http://download.simplemachines.org/index.php?thanks%3Bfilename=smf_2-0-6_changelog.txt • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 55EXPL: 0CVE-2013-7236
https://notcve.org/view.php?id=CVE-2013-7236
29 Apr 2014 — Simple Machines Forum (SMF) 2.0.6, 1.1.19, and earlier allows remote attackers to impersonate arbitrary users via a Unicode homoglyph character in a username. Simple Machines Forum (SMF) 2.0.6, 1.1.19, y anteriores permite a atacantes remotos suplantar usuarios arbitrarios a través de un carácter Unicode homógrafos en un nombre de usuario. • http://seclists.org/fulldisclosure/2013/Dec/83 • CWE-20: Improper Input Validation •