CVSS: 8.8EPSS: 0%CPEs: 24EXPL: 1CVE-2012-2435
https://notcve.org/view.php?id=CVE-2012-2435
27 May 2012 — Directory traversal vulnerability in the captcha module in Pligg CMS before 1.2.2 allows remote authenticated users to include and execute arbitrary local files via a .. (dot dot) in the captcha parameter to module.php, as demonstrated by cross-site request forgery (CSRF) attacks. Vulnerabilidad de directorio transversal en el módulo captcha en Pligg CMS anterior a v1.2.2 permite a usuarios remotos autenticados incluir y ejecutar ficheros locales arbitrarios a través de .. (punto punto) en el parámetro capt... • http://forums.pligg.com/downloads.php?do=file&id=15 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 3%CPEs: 24EXPL: 1CVE-2012-2436 – Pligg CMS 1.x - 'module.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2012-2436
27 May 2012 — Multiple cross-site scripting (XSS) vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to inject arbitrary web script or HTML via (1) an arbitrary parameter in a move or (2) minimize action to admin/admin_index.php; (3) the karma_username parameter to module.php in the karma module; (4) q_1_low, (5) q_1_high, (6) q_2_low, or (7) q_2_high parameter in a configure action to module.php in the captcha module; or (8) the edit parameter to module.php in the admin_language module. Múltiples vulnerabi... • https://www.exploit-db.com/exploits/37311 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 24EXPL: 0CVE-2012-2936
https://notcve.org/view.php?id=CVE-2012-2936
27 May 2012 — Multiple cross-site scripting (XSS) vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to inject arbitrary web script or HTML via the (1) user or (2) page parameter to (a) admin/admin_comments.php or (b) admin/admin_links.php; or list parameter in a (3) move or (4) minimize action to (c) admin/admin_index.php. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Pligg CMS anterior a v1.2.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a travé... • http://forums.pligg.com/downloads.php?do=file&id=15 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 24EXPL: 0CVE-2012-2937
https://notcve.org/view.php?id=CVE-2012-2937
27 May 2012 — Multiple SQL injection vulnerabilities in Pligg CMS before 1.2.2 allow remote attackers to execute arbitrary SQL commands via the (1) list parameter in a move action to admin/admin_index.php, (2) display parameter in a minimize action to admin/admin_index.php, (3) enabled[] parameter to admin/admin_users.php, or (4) msg_id to the module.php in the simple_messaging module. Múltiples vulnerabilidades de inyección SQL en Pligg CMS anterior a v1.2.2 permite a atacantes remotos ejecutar comandos arbitrarios SQL ... • http://forums.pligg.com/downloads.php?do=file&id=15 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2011-5022 – Pligg CMS 1.1.2 - 'status' SQL Injection
https://notcve.org/view.php?id=CVE-2011-5022
29 Dec 2011 — SQL injection vulnerability in search.php in Pligg CMS 1.1.2 allows remote attackers to execute arbitrary SQL commands via the status parameter. Vulnerabilidad de inyección SQL en search.php en Pligg CMS v1.1.2 permite a atacantes remotos ejecutar comandos SQL a través del parámetro de estado. • https://www.exploit-db.com/exploits/36495 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2011-5023 – Pligg CMS 1.1.4 - 'SERVER[php_self]' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2011-5023
29 Dec 2011 — Cross-site scripting (XSS) vulnerability in Pligg CMS 1.1.4 allows remote attackers to inject arbitrary web script or HTML via the PATH_INFO to the search program, a different vulnerability than CVE-2011-3986. Varias vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Pligg CMS v1.1.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de la PATH_INFO para el programa de búsqueda, una vulnerabilidad diferente a CVE-2011-3986. • https://www.exploit-db.com/exploits/36496 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 20EXPL: 0CVE-2011-3986
https://notcve.org/view.php?id=CVE-2011-3986
03 Nov 2011 — Cross-site scripting (XSS) vulnerability in Pligg before 1.2.0 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Pligg anteriores a v1.2.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no identificados. • http://jvn.jp/en/jp/JVN04013920/index.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3794
https://notcve.org/view.php?id=CVE-2011-3794
24 Sep 2011 — Pligg CMS 1.1.3 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by widgets/statistics/init.php and certain other files. Pligg CMS v1.1.3 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con widgets/statistics/init.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 0CVE-2010-2577
https://notcve.org/view.php?id=CVE-2010-2577
16 Aug 2010 — Multiple SQL injection vulnerabilities in Pligg before 1.1.1 allow remote attackers to execute arbitrary SQL commands via the title parameter to (1) storyrss.php or (2) story.php. Multiples vulnerabilidades de inyección SQL en Pligg en versiones anteriores a la v1.1.1 permiten a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro title a (1) storyrss.php o (2) story.php. • http://secunia.com/advisories/40931 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 0CVE-2010-3013
https://notcve.org/view.php?id=CVE-2010-3013
16 Aug 2010 — SQL injection vulnerability in groupadmin.php in Pligg before 1.1.1 allows remote attackers to execute arbitrary SQL commands via the role parameter, a different vulnerability than CVE-2010-2577. Vulnerabilidad de inyección SQL en groupadmin.php de Pligg en versiones anteriores a la v1.1.1 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "role", una vulnerabilidad distinta a la CVE-2010-2577. • http://pligg.svn.sourceforge.net/viewvc/pligg/trunk/groupadmin.php?r1=1532&r2=2143&pathrev=2143 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •