CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2012-5910
https://notcve.org/view.php?id=CVE-2012-5910
17 Nov 2012 — SQL injection vulnerability in blogs/htsrv/viewfile.php in b2evolution 4.1.3 allows remote authenticated users to execute arbitrary SQL commands via the root parameter. Vulnerabilidad de inyección SQL en blogs/htsrv/viewfile.php en b2evolution v4.1.3 permite a usuarios remotos autenticados ejecutar comandos SQL de su elección a través del parámetro root. • http://b2evolution.net/news/2012/04/06/b2evolution-4-1-4-stable • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2012-5911
https://notcve.org/view.php?id=CVE-2012-5911
17 Nov 2012 — Cross-site scripting (XSS) vulnerability in blogs/blog1.php in b2evolution 4.1.3 allows remote attackers to inject arbitrary web script or HTML via the message body. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en blogs/blog1.php en b2evolution v4.1.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del cuerpo del mensaje. • http://b2evolution.net/news/2012/04/06/b2evolution-4-1-4-stable • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3709
https://notcve.org/view.php?id=CVE-2011-3709
23 Sep 2011 — b2evolution 3.3.3 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by locales/ru_RU/ru-RU.locale.php and certain other files. b2evolution v3.3.3 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con locales/ru_RU/ru-RU.locale.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2009-1657
https://notcve.org/view.php?id=CVE-2009-1657
17 May 2009 — Multiple SQL injection vulnerabilities in the Starrating plugin before 0.7.7 for b2evolution allow remote attackers to execute arbitrary SQL commands via unspecified vectors. Múltiples vulnerabilidades de inyección de SQL en el plugin Starrating para b2evolution antes de v0.7.7 permiten a atacantes remotos ejecutar comandos SQL a través de vectores no especificados. • http://osvdb.org/54369 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2007-2681
https://notcve.org/view.php?id=CVE-2007-2681
15 May 2007 — Directory traversal vulnerability in blogs/index.php in b2evolution 1.6 allows remote attackers to include and execute arbitrary local files via a .. (dot dot) in the core_subdir parameter. Vulnerabilidad de salto de directorio en blogs/index.php en b2evolution 1.6 permite a atacantes remotos incluir y ejecutar archivos locales de su elección a través de la secuencia ..(punto punto) en el parámetro core_subdir. • http://securityreason.com/securityalert/2697 •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0CVE-2007-2358
https://notcve.org/view.php?id=CVE-2007-2358
30 Apr 2007 — Multiple PHP remote file inclusion vulnerabilities in b2evolution allow remote attackers to execute arbitrary PHP code via a URL in the (1) inc_path parameter to (a) a_noskin.php, (b) a_stub.php, (c) admin.php, (d) contact.php, (e) default.php, (f) index.php, and (g) multiblogs.php in blogs/; the (2) view_path and (3) control_path parameters to blogs/admin.php; and the (4) skins_path parameter to (h) blogs/contact.php and (i) blogs/multiblogs.php. NOTE: this issue is disputed by CVE, since the inc_path, vie... • http://attrition.org/pipermail/vim/2007-April/001566.html •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2007-0175
https://notcve.org/view.php?id=CVE-2007-0175
11 Jan 2007 — Cross-site scripting (XSS) vulnerability in htsrv/login.php in b2evolution 1.8.6 allows remote attackers to inject arbitrary web script or HTML via scriptable attributes in the redirect_to parameter. Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo htsrv/login.php en b2evolution versión 1.8.6, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de atributos programables en el parámetro redirect_to. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=410568 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 14%CPEs: 3EXPL: 2CVE-2006-6417 – b2evolution 1.8.5 < 1.9b - 'import-mt.php' Remote File Inclusion
https://notcve.org/view.php?id=CVE-2006-6417
10 Dec 2006 — PHP remote file inclusion vulnerability in inc/CONTROL/import/import-mt.php in b2evolution 1.8.5 through 1.9 beta allows remote attackers to execute arbitrary PHP code via a URL in the inc_path parameter. Vulnerabilidad PHP de inclusión remota de archivo en inc/CONTROL/import/import-mt.php en b2evolution 1.8.5 hasta 1.9 beta permite a un atacante remoto ejecutar código PHP de su elección a través de una URL en el parámetro inc_path. • https://www.exploit-db.com/exploits/2864 •
CVSS: 6.8EPSS: 2%CPEs: 2EXPL: 4CVE-2006-6197 – b2evolution 1.8.2/1.9 - '_404_not_found.page.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2006-6197
01 Dec 2006 — Multiple cross-site scripting (XSS) vulnerabilities in b2evolution 1.8.2 through 1.9 beta allow remote attackers to inject arbitrary web script or HTML via the (1) app_name parameter in (a) _404_not_found.page.php, (b) _410_stats_gone.page.php, and (c) _referer_spam.page.php in inc/VIEW/errors/; the (2) baseurl parameter in (d) inc/VIEW/errors/_404_not_found.page.php; and the (3) ReqURI parameter in (e) inc/VIEW/errors/_referer_spam.page.php. Múltiples vulnerabilidades secuencias de comandos en sitios cruza... • https://www.exploit-db.com/exploits/29198 •