CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3417
https://notcve.org/view.php?id=CVE-2007-3417
Multiple cross-site scripting (XSS) vulnerabilities in cgi-bin/cgi-lib/search.pl in web-app.org WebAPP before 0.9.9.7 allow remote attackers to inject arbitrary web script or HTML via a search string, which is not sanitized when an HREF attribute is printed by the (1) process_search or (2) show_recent_searches function. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en cgi-bin/cgi-lib/search.pl de web-app.org WebAPP anterior a 0.9.9.7 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante una cadena de búsqueda, la cual no es desinfectada cuando un atributo HREF es impreso por la función (1) process_search o (2) show_recent_searches. • http://osvdb.org/45398 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3423
https://notcve.org/view.php?id=CVE-2007-3423
cgi-bin/cgi-lib/instantmessage.pl in web-app.org WebAPP before 0.9.9.7 uses the From field of an instant message as the beginning of the .dat file name when the (1) imview2 or (2) imview3 function reads (a) an internal IM, or a message from a (b) guest or (c) removed member, which has unknown impact and remote attack vectors. cgi-bin/cgi-lib/instantmessage.pl en web-app.org WebAPP anterior a 0.9.9.7 utiliza el campo From de mensaje instantáneo como inicio del nombre de archivo .dat cuando la función (1) imview2 o (2) imview3 lee (a) un IM (mensaje instantáneo) interno, o un mensaje desde un usario (b) invitado o (c) borrado, lo cual tiene impacto y vectores de ataque remotos desconocidos. • http://osvdb.org/45409 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •
CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 0CVE-2007-3416
https://notcve.org/view.php?id=CVE-2007-3416
Multiple cross-site request forgery (CSRF) vulnerabilities in the administration of (1) polls, (2) profiles, (3) IP bans, and (4) forums in (a) web-app.org WebAPP 0.8 through 0.9.9.6; and (b) web-app.net WebAPP 0.9.9.3.3, 0.9.9.3.4, and 2007; allow remote attackers to perform deletions as administrators. Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en la administración de (1) sondeos, (2) perfiles, (3) prohibiciones IP y (4) foros en (a) web-app.org WebAPP versiones 0.8 hasta 0.9.9.6; y (b) web-app.net WebAPP versiones 0.9.9.3.3, 0.9.9.3.4 y 2007; permite a atacantes remotos realizar eliminaciones como administradores. • http://www.attrition.org/pipermail/vim/2007-June/001687.html http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip https://exchange.xforce.ibmcloud.com/vulnerabilities/35929 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3422
https://notcve.org/view.php?id=CVE-2007-3422
The getcgi function in cgi-bin/cgi-lib/subs.pl in web-app.org WebAPP before 0.9.9.7 attempts to parse query strings that contain (1) non-printing characters, (2) certain printing characters that do not commonly occur in URLs, or (3) invalid URL encoding sequences, which has unknown impact and remote attack vectors. La función getcgi en cgi-bin/cgi-lib/subs.pl de web-app.org WebAPP anterior a 0.9.9.7 intenta analizar sintácticamente cadenas de consulta que contienen (1) caracteres no imprimibles, (2) ciertos caracteres imprimibles que no aparecen normalmente en URLs, o (3) secuencias de codificación de URL inválidas, lo cual tiene impacto y vectores de ataque desconocidos. • http://osvdb.org/45408 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3419
https://notcve.org/view.php?id=CVE-2007-3419
The editprofile3 function in cgi-bin/cgi-lib/user.pl in web-app.org WebAPP before 0.9.9.7 does not properly check the (1) themes.dat, (2) languages.dat, (3) profession.dat, (4) gen.dat, (5) marstat.dat, (6) states.dat, and (7) ages.dat files before saving profile settings of members, which has unknown impact and remote attack vectors. La función editprofile3 en cgi-bin/cgi-lib/user.pl de web-app.org WebAPP anterior a 0.9.9.7 no comprueba adecuadamente los ficheros (1) themes.dat, (2) languages.dat, (3) profession.dat, (4) gen.dat, (5) marstat.dat, (6) states.dat, y (7) ages.dat antes de guardar la configuración del perfil de los miembros, lo cual tiene impacto y vectores de ataque desconocidos. • http://osvdb.org/45400 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •