CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 3CVE-2008-0383 – MyBB 1.2.10 - 'moderation.php' Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2008-0383
Multiple SQL injection vulnerabilities in MyBB 1.2.10 and earlier allow remote moderators and administrators to execute arbitrary SQL commands via (1) the mergepost parameter in a do_mergeposts action, (2) rid parameter in an allreports action, or (3) threads parameter in a do_multimovethreads action to (a) moderation.php; or (4) gid parameter to (b) admin/usergroups.php. Múltiples vulnerabilidades de inyección SQL en MyBB 1.2.10 y anteriores permite a moderadores remotos y administradores ejecutar comnandos SQL a través del parámetros (1)mergepost en una acción do_mergepostsm (2) parámetro rid en una acción allreports, o (3) parámetro threads en una acción do_multimovethreads en (a) moderation.php; o parámetro (4)gid en (b) admin/usergroups.php. • https://www.exploit-db.com/exploits/31034 http://community.mybboard.net/showthread.php?tid=27227 http://secunia.com/advisories/28509 http://securityreason.com/securityalert/3558 http://www.securityfocus.com/archive/1/486433/100/0/threaded http://www.securityfocus.com/bid/27323 http://www.waraxe.us/advisory-62.html https://exchange.xforce.ibmcloud.com/vulnerabilities/39728 https://exchange.xforce.ibmcloud.com/vulnerabilities/39729 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 2CVE-2007-0689
https://notcve.org/view.php?id=CVE-2007-0689
MyBB 1.2.4 allows remote attackers to obtain sensitive information via the (1) action[] parameter to member.php, (2) imagehash[] parameter to captcha.php, and (3) a direct request to inc/datahandlers/event.php, which reveal the installation path in the resulting error message. MyBB 1.2.4 permite a atacantes remotos obtener información sensible a través del parámetro (1) action[] en member.php, el parámetro (2)imagehash[] en captcha.php, and (3) una respuesta directa en inc/datahandlers/event.php, el cual revela la ruta de instalación en el mensaje de error resultado. • http://marc.info/?l=full-disclosure&m=117909973216181&w=2 http://osvdb.org/35548 http://osvdb.org/35549 http://www.netvigilance.com/advisory0017 http://www.osvdb.org/34155 http://www.securityfocus.com/archive/1/468549/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/34336 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2007-2212 – MyBulletinBoard (MyBB) 1.2.5 - 'calendar.php' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2007-2212
Multiple SQL injection vulnerabilities in calendar.php in MyBB (aka MyBulletinBoard) 1.2.5 and earlier allow remote attackers to execute arbitrary SQL commands via the (1) year or (2) month parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Múltiples vulnerabilidades de inyección SQL en calendar.php en MyBB (también conocido como MyBulletinBoard) 1.2.5 y anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro (1) year o (2) month. NOTA: la procedencia de esta información es desconocida; los detalles han sido obtenidos a partir de la información de terceros. • https://www.exploit-db.com/exploits/3780 https://exchange.xforce.ibmcloud.com/vulnerabilities/33814 •
CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0CVE-2007-1964
https://notcve.org/view.php?id=CVE-2007-1964
member.php in MyBB (aka MyBulletinBoard), when debug mode is available, allows remote authenticated users to change the password of any account by providing the account's registered e-mail address in a debug request for a do_lostpw action, which prints the change password verification code in the debug output. member.php en MyBB (también conocido como MyBulletinBoard), cuando el modo de depuración está disponible, permite a atacantes remotos autenticados cambiar la contraseña de cualquier cuenta dando la dirección de correo electrónico de cuentas registradas en una petición de depuración para la acción do_lostpw, lo cual imprime el código de verificación de cambio de la contraseña en la salida de depuración. • http://securityreason.com/securityalert/2544 http://www.securityfocus.com/archive/1/464267/100/100/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/33345 •
CVSS: 7.5EPSS: 6%CPEs: 2EXPL: 1CVE-2007-1963 – MyBulletinBoard (MyBB) 1.2.3 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2007-1963
SQL injection vulnerability in the create_session function in class_session.php in MyBB (aka MyBulletinBoard) 1.2.3 and earlier allows remote attackers to execute arbitrary SQL commands via the Client-IP HTTP header, as utilized by index.php, a related issue to CVE-2006-3775. Vulnerabilidad de inyección SQL en la función create_session en class_session.php de MyBB (también conocido como MyBulletinBoard) 1.2.3 y anteriores permite a atacantes remotos ejecutar comandos sql de su elección mediante la cabecera HTTP Client-IP, como ha sido utilizado por index.php, un asunto relacionado con CVE-2006-3775. • https://www.exploit-db.com/exploits/3653 http://community.mybboard.net/attachment.php?aid=5842 http://community.mybboard.net/showthread.php?tid=18002 http://osvdb.org/34657 http://secunia.com/advisories/24689 http://www.securityfocus.com/archive/1/464563/100/0/threaded http://www.vupen.com/english/advisories/2007/1244 •