CVE-2011-4946
https://notcve.org/view.php?id=CVE-2011-4946
SQL injection vulnerability in e107_admin/users_extended.php in e107 before 0.7.26 allows remote attackers to execute arbitrary SQL commands via the user_field parameter. Vulnerabilidad de inyección SQL en e107_admin/users_extended.php en e107 anteriores a v0.7.26 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro user_field. • http://e107.org/svn_changelog.php?version=0.7.26 http://e107.svn.sourceforge.net/viewvc/e107/trunk/e107_0.7/e107_admin/users_extended.php?r1=12225&r2=12306 http://secunia.com/advisories/44968 http://www.openwall.com/lists/oss-security/2012/03/28/4 http://www.openwall.com/lists/oss-security/2012/03/29/3 http://www.osvdb.org/73120 https://exchange.xforce.ibmcloud.com/vulnerabilities/68061 https://www.htbridge.com/advisory/multiple_vulnerabilities_in_e107_1.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2012-3843
https://notcve.org/view.php?id=CVE-2012-3843
Cross-site scripting (XSS) vulnerability in the registration page in e107, probably 1.0.1, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en la página de registro en e107, probablemente v1.0.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://hauntit.blogspot.com/2012/04/en-e107-cms-reflected-xss-in.html http://packetstormsecurity.org/files/112241/e107-Cross-Site-Scripting.html http://www.securityfocus.com/bid/53271 https://exchange.xforce.ibmcloud.com/vulnerabilities/75225 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-5084
https://notcve.org/view.php?id=CVE-2010-5084
The cross-site request forgery (CSRF) protection mechanism in e107 before 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote attackers to hijack the authentication of administrators for requests that add new users via e107_admin/users.php. El mecanismo de protección de falsificación de petición en sitios cruzados (CSRF) en e107 antes de v0.7.23, utiliza una muestra aleatoria predecible basada en la fecha de creación de la cuenta de administrador, lo que permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que añaden nuevos usuarios a través de e107_admin/users.php. • http://e107.org/comment.php?comment.news.872 http://secunia.com/advisories/41034 http://www.madirish.net/?article=471 http://www.securitytracker.com/id?1024351 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2011-4921
https://notcve.org/view.php?id=CVE-2011-4921
SQL injection vulnerability in usersettings.php in e107 0.7.26, and possibly other versions before 1.0.0, allows remote attackers to execute arbitrary SQL commands via the username parameter. Vulnerabilida de inyección SQL en usersettings.php en e107 v0.7.26 y posiblemente otras versiones anteriores a 1.0.0, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro username. • http://osvdb.org/78050 http://secunia.com/advisories/46706 http://www.openwall.com/lists/oss-security/2012/01/04/3 http://www.securityfocus.com/bid/51253 https://exchange.xforce.ibmcloud.com/vulnerabilities/72011 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2011-4920
https://notcve.org/view.php?id=CVE-2011-4920
Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.26, and other versions before 1.0.0, allow remote attackers to inject arbitrary web script or HTML via the URL to (1) e107_images/thumb.php or (2) rate.php, (3) resend_name parameter to e107_admin/users.php, and (4) link BBCode in user signatures. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en e107 v0.7.26 y otras versiones anteriores a v1.0.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de la URL en (1) e107_images/thumb.php o (2) rate.php, (3) el parámetro resend_name en e107_admin/users.php, y (4) link BBCode en user signatures. • http://osvdb.org/78047 http://osvdb.org/78048 http://osvdb.org/78049 http://secunia.com/advisories/46706 http://www.openwall.com/lists/oss-security/2012/01/04/3 http://www.securityfocus.com/bid/51253 https://exchange.xforce.ibmcloud.com/vulnerabilities/72010 https://exchange.xforce.ibmcloud.com/vulnerabilities/72104 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •