CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3815
https://notcve.org/view.php?id=CVE-2011-3815
24 Sep 2011 — WeBid 1.0.0 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by js/calendar.php and certain other files. WeBid v1.0.0 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con js/calendar.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2008-7119 – WeBid 0.5.4 - 'item.php' SQL Injection
https://notcve.org/view.php?id=CVE-2008-7119
28 Aug 2009 — SQL injection vulnerability in item.php in WeBid auction script 0.5.4 allows remote attackers to execute arbitrary SQL commands via the id parameter. Una vulnerabilidad de inyección SQL en item.php en el script de subastas WeBid v0.5.4 permite a atacantes remotos ejecutar comandos SQL a través del parámetro id. • https://www.exploit-db.com/exploits/6341 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2008-7118 – webid 0.5.4 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2008-7118
28 Aug 2009 — WeBid auction script 0.5.4 stores sensitive information under the web root with insufficient access control, which allows remote attackers to obtain SQL query logs via a direct request for logs/cron.log. WeBid auction script v0.5.4 almacena información sensible bajo el directorio raíz de la Web con control de acceso insuficiente, lo que permite obtener los logs de las consultas SQL a atacantes remotos a través de una petición directa a logs/cron.log. • https://www.exploit-db.com/exploits/6339 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2008-7116 – webid 0.5.4 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2008-7116
28 Aug 2009 — SQL injection vulnerability in the admin panel (admin/) in WeBid auction script 0.5.4 allows remote attackers to execute arbitrary SQL commands via the username. Una vulnerabilidad de inyección SQL en el panel de administración (admin/) en WeBid Auction Script v0.5.4 permite a atacantes remotos ejecutar comandos SQL a través del nombre de usuario (username). • https://www.exploit-db.com/exploits/6339 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2008-7117 – webid 0.5.4 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2008-7117
28 Aug 2009 — eledicss.php in WeBid auction script 0.5.4 allows remote attackers to modify arbitrary cascading style sheets (CSS) files via a certain request with the file parameter set to style.css. NOTE: this can probably be leveraged for cross-site scripting (XSS) attacks. eledicss.php in WeBid auction script v0.5.4 permite a atacantes remotos modificar arbitrariamente archivos de hojas de estilo en cascada (CSS) a través de una solicitud con el parámetro file asignado a "style.css". NOTA: esto probablemente se puede ... • https://www.exploit-db.com/exploits/6339 • CWE-264: Permissions, Privileges, and Access Controls •