Page 24 of 123 results (0.013 seconds)

CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1

Multiple cross-site request forgery (CSRF) vulnerabilities in MyBB 1.2.11 and earlier allow remote attackers to (1) hijack the authentication of moderators or administrators for requests that delete threads via a do_multideletethreads action to moderation.php and (2) hijack the authentication of arbitrary users for requests that delete private messages (PM) via a delete action to private.php. Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en MyBB versión 1.2.11 y anteriores, permiten a los atacantes remotos (1) secuestrar la autenticación de moderadores o administradores para las peticiones que eliminan hilos (subprocesos) por medio de una acción do_multideletethreads para el archivo moderation.php y (2) secuestran la autenticación de usuarios arbitrarios para peticiones que eliminan mensajes privados (PM) por medio de una acción delete en private.php. • http://community.mybboard.net/showthread.php?tid=27675 http://secunia.com/advisories/28572 http://securityreason.com/securityalert/3656 http://www.securityfocus.com/archive/1/486663 http://www.vupen.com/english/advisories/2008/0238 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 3

Multiple SQL injection vulnerabilities in MyBB 1.2.10 and earlier allow remote moderators and administrators to execute arbitrary SQL commands via (1) the mergepost parameter in a do_mergeposts action, (2) rid parameter in an allreports action, or (3) threads parameter in a do_multimovethreads action to (a) moderation.php; or (4) gid parameter to (b) admin/usergroups.php. Múltiples vulnerabilidades de inyección SQL en MyBB 1.2.10 y anteriores permite a moderadores remotos y administradores ejecutar comnandos SQL a través del parámetros (1)mergepost en una acción do_mergepostsm (2) parámetro rid en una acción allreports, o (3) parámetro threads en una acción do_multimovethreads en (a) moderation.php; o parámetro (4)gid en (b) admin/usergroups.php. • https://www.exploit-db.com/exploits/31034 http://community.mybboard.net/showthread.php?tid=27227 http://secunia.com/advisories/28509 http://securityreason.com/securityalert/3558 http://www.securityfocus.com/archive/1/486433/100/0/threaded http://www.securityfocus.com/bid/27323 http://www.waraxe.us/advisory-62.html https://exchange.xforce.ibmcloud.com/vulnerabilities/39728 https://exchange.xforce.ibmcloud.com/vulnerabilities/39729 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 2

MyBB 1.2.4 allows remote attackers to obtain sensitive information via the (1) action[] parameter to member.php, (2) imagehash[] parameter to captcha.php, and (3) a direct request to inc/datahandlers/event.php, which reveal the installation path in the resulting error message. MyBB 1.2.4 permite a atacantes remotos obtener información sensible a través del parámetro (1) action[] en member.php, el parámetro (2)imagehash[] en captcha.php, and (3) una respuesta directa en inc/datahandlers/event.php, el cual revela la ruta de instalación en el mensaje de error resultado. • http://marc.info/?l=full-disclosure&m=117909973216181&w=2 http://osvdb.org/35548 http://osvdb.org/35549 http://www.netvigilance.com/advisory0017 http://www.osvdb.org/34155 http://www.securityfocus.com/archive/1/468549/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/34336 •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

Multiple SQL injection vulnerabilities in calendar.php in MyBB (aka MyBulletinBoard) 1.2.5 and earlier allow remote attackers to execute arbitrary SQL commands via the (1) year or (2) month parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Múltiples vulnerabilidades de inyección SQL en calendar.php en MyBB (también conocido como MyBulletinBoard) 1.2.5 y anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro (1) year o (2) month. NOTA: la procedencia de esta información es desconocida; los detalles han sido obtenidos a partir de la información de terceros. • https://www.exploit-db.com/exploits/3780 https://exchange.xforce.ibmcloud.com/vulnerabilities/33814 •

CVSS: 6.0EPSS: 0%CPEs: 2EXPL: 0

member.php in MyBB (aka MyBulletinBoard), when debug mode is available, allows remote authenticated users to change the password of any account by providing the account's registered e-mail address in a debug request for a do_lostpw action, which prints the change password verification code in the debug output. member.php en MyBB (también conocido como MyBulletinBoard), cuando el modo de depuración está disponible, permite a atacantes remotos autenticados cambiar la contraseña de cualquier cuenta dando la dirección de correo electrónico de cuentas registradas en una petición de depuración para la acción do_lostpw, lo cual imprime el código de verificación de cambio de la contraseña en la salida de depuración. • http://securityreason.com/securityalert/2544 http://www.securityfocus.com/archive/1/464267/100/100/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/33345 •