CVSS: 9.8EPSS: 0%CPEs: 24EXPL: 1CVE-2011-4946
https://notcve.org/view.php?id=CVE-2011-4946
31 Aug 2012 — SQL injection vulnerability in e107_admin/users_extended.php in e107 before 0.7.26 allows remote attackers to execute arbitrary SQL commands via the user_field parameter. Vulnerabilidad de inyección SQL en e107_admin/users_extended.php en e107 anteriores a v0.7.26 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro user_field. • http://e107.org/svn_changelog.php?version=0.7.26 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.6EPSS: 0%CPEs: 25EXPL: 0CVE-2011-4947
https://notcve.org/view.php?id=CVE-2011-4947
31 Aug 2012 — Cross-site request forgery (CSRF) vulnerability in e107_admin/users_extended.php in e107 before 0.7.26 allows remote attackers to hijack the authentication of administrators for requests that insert cross-site scripting (XSS) sequences via the user_include parameter. Vulnerabilidad de fasificación de peticiones en sitios cruzados (CSRF) en e107_admin/users_extended.php en e107 anteriores a v0.7.26 permite a atacantes remotos secuestrar la autenticación de los usuarios administradores en peticiones para inse... • http://e107.org/svn_changelog.php?version=0.7.26 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2012-3843
https://notcve.org/view.php?id=CVE-2012-3843
03 Jul 2012 — Cross-site scripting (XSS) vulnerability in the registration page in e107, probably 1.0.1, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en la página de registro en e107, probablemente v1.0.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://hauntit.blogspot.com/2012/04/en-e107-cms-reflected-xss-in.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 65EXPL: 0CVE-2010-5084
https://notcve.org/view.php?id=CVE-2010-5084
14 Feb 2012 — The cross-site request forgery (CSRF) protection mechanism in e107 before 0.7.23 uses a predictable random token based on the creation date of the administrator account, which allows remote attackers to hijack the authentication of administrators for requests that add new users via e107_admin/users.php. El mecanismo de protección de falsificación de petición en sitios cruzados (CSRF) en e107 antes de v0.7.23, utiliza una muestra aleatoria predecible basada en la fecha de creación de la cuenta de administrad... • http://e107.org/comment.php?comment.news.872 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2011-4920
https://notcve.org/view.php?id=CVE-2011-4920
04 Jan 2012 — Multiple cross-site scripting (XSS) vulnerabilities in e107 0.7.26, and other versions before 1.0.0, allow remote attackers to inject arbitrary web script or HTML via the URL to (1) e107_images/thumb.php or (2) rate.php, (3) resend_name parameter to e107_admin/users.php, and (4) link BBCode in user signatures. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en e107 v0.7.26 y otras versiones anteriores a v1.0.0, permite a atacantes remotos inyectar secuencias de com... • http://osvdb.org/78047 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2011-4921
https://notcve.org/view.php?id=CVE-2011-4921
04 Jan 2012 — SQL injection vulnerability in usersettings.php in e107 0.7.26, and possibly other versions before 1.0.0, allows remote attackers to execute arbitrary SQL commands via the username parameter. Vulnerabilida de inyección SQL en usersettings.php en e107 v0.7.26 y posiblemente otras versiones anteriores a 1.0.0, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro username. • http://osvdb.org/78050 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 1%CPEs: 59EXPL: 3CVE-2011-1513 – e107 0.7.24 - 'cmd' Remote Command Execution
https://notcve.org/view.php?id=CVE-2011-1513
04 Nov 2011 — Static code injection vulnerability in install_.php in e107 CMS 0.7.24 and probably earlier versions, when the installation script is not removed, allows remote attackers to inject arbitrary PHP code into e107_config.php via a crafted MySQL server name. Vulnerabilidad de inyección de código estático en install_.php en e107 CMS v0.7.24 y probablemente también en versiones anteriores, cuando el script de instalación no se elimina, permite a atacantes remotos inyectar código PHP de su elección en e107_config.p... • https://www.exploit-db.com/exploits/36252 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3731
https://notcve.org/view.php?id=CVE-2011-3731
23 Sep 2011 — e107 0.7.24 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by e107_plugins/pdf/e107pdf.php and certain other files. e107 v0.7.24 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con e107_plugins/pdf/e107pdf.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 65EXPL: 0CVE-2011-0457
https://notcve.org/view.php?id=CVE-2011-0457
15 Mar 2011 — Cross-site scripting (XSS) vulnerability in e107 0.7.22 and earlier allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en e107 0.7.22 y versiones anteriores permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través de vectores sin especificar. • http://e107.org/comment.php?comment.news.872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 65EXPL: 1CVE-2010-4757
https://notcve.org/view.php?id=CVE-2010-4757
15 Mar 2011 — Cross-site scripting (XSS) vulnerability in submitnews.php in e107 before 0.7.23 allows remote attackers to inject arbitrary web script or HTML via the submitnews_title parameter, a different vector than CVE-2008-6208. NOTE: some of these details are obtained from third party information. NOTE: this might be the same as CVE-2009-4083.1 or CVE-2011-0457. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en submitnews.php de e107 en versiones anteriores a la 0.7.23 permite a atacantes remotos ... • http://e107.org/comment.php?comment.news.872 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •