CVSS: 6.1EPSS: 0%CPEs: 102EXPL: 0CVE-2012-4602
https://notcve.org/view.php?id=CVE-2012-4602
23 Nov 2012 — Multiple cross-site scripting (XSS) vulnerabilities in admin/code/tce_select_users_popup.php in Nicola Asuni TCExam before 11.3.009 allow remote attackers to inject arbitrary web script or HTML via the (1) cid or (2) uids parameter. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/code/tce_select_users_popup.php en Nicola Asuni TCExam anterior a v11.3.009, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetro (1) cid o... • http://freecode.com/projects/tcexam/releases/347588 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 101EXPL: 2CVE-2012-4238 – TCExam 11.3.007 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2012-4238
14 Aug 2012 — Cross-site scripting (XSS) vulnerability in admin/code/tce_edit_answer.php in TCExam before 11.3.008 allows remote authenticated users with level 5 or greater permissions to inject arbitrary web script or HTML via the question_subject_id parameter. Vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en admin/code/tce_edit_answer.php en TCExam anterior a v11.3.008 permite a usuarios autenticados con nivel 5 o permisos superiores, inyectar código web o HTML arbitrario a través del parámetro quest... • http://archives.neohapsis.com/archives/bugtraq/2012-08/0090.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 101EXPL: 5CVE-2012-4237 – TCExam 11.2.x - '/admin/code/tce_edit_answer.php' Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2012-4237
14 Aug 2012 — Multiple SQL injection vulnerabilities in TCExam before 11.3.008 allow remote authenticated users with level 5 or greater permissions to execute arbitrary SQL commands via the subject_module_id parameter to (1) tce_edit_answer.php or (2) tce_edit_question.php. Múltiples vulnerabilidades inyección de código SQL en TCExam anterior a v11.3.008 permite a usuarios remotos autenticados con nivel 5 o permisos superiores ejecutar comandos SQL arbitrarios a través del parámetro subject_module_id en (1) tce_edit_answ... • https://www.exploit-db.com/exploits/37584 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3806
https://notcve.org/view.php?id=CVE-2011-3806
24 Sep 2011 — TCExam 11.1.015 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by public/code/tce_page_footer.php and certain other files. TCExam v11.1.015 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con public/code/tce_page_footer.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 13%CPEs: 2EXPL: 4CVE-2010-2153 – TCExam 10.1.7 - '/admin/code/tce_functions_tcecode_editor.php' Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2010-2153
03 Jun 2010 — Unrestricted file upload vulnerability in admin/code/tce_functions_tcecode_editor.php in TCExam 10.1.006 and 10.1.007 allows remote attackers to execute arbitrary code by uploading a file with an executable extension, then accessing it via a direct request to the file in cache/. Fichero de subida sin restricción en admin/code/tce_functions_tcecode_editor.php de TCExam v10.1.006 y v10.1.007 permite a atacantes remotos ejecutar código arbitrario a través de la subida de un fichero con una extensión ejecutable... • https://www.exploit-db.com/exploits/34073 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2007-6288
https://notcve.org/view.php?id=CVE-2007-6288
10 Dec 2007 — Multiple SQL injection vulnerabilities in TCExam before 5.1.000 allow remote attackers to execute arbitrary SQL commands via unspecified vectors. Múltiples vulnerabilidades de inyección SQL en TCExam versiones anteriores a 5.1.000 permiten a atacantes remotos ejecutar comandos SQL de su elección mediante vectores no especificados. • http://secunia.com/advisories/27940 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.1EPSS: 1%CPEs: 1EXPL: 1CVE-2007-2430 – TCExam 4.0.011 - 'SessionUserLang' Shell Injection
https://notcve.org/view.php?id=CVE-2007-2430
02 May 2007 — shared/code/tce_tmx.php in TCExam 4.0.011 and earlier allows remote attackers to create arbitrary PHP files in cache/ by placing file contents and directory traversal manipulations into a SessionUserLang cookie to public/code/index.php. shared/code/tce_tmx.php en TCExam 4.0.011 y anteriores permite a atacantes remotos crear ficheros PHP de su elección en cache/ poniendo contenidos y manipulaciones de cruce de directorios en una cookie SessionUserLang a public/code/index.php. • https://www.exploit-db.com/exploits/3816 •
CVSS: 6.8EPSS: 1%CPEs: 1EXPL: 1CVE-2007-2431 – TCExam 4.0.011 - 'SessionUserLang' Shell Injection
https://notcve.org/view.php?id=CVE-2007-2431
02 May 2007 — Dynamic variable evaluation vulnerability in shared/config/tce_config.php in TCExam 4.0.011 and earlier allows remote attackers to conduct cross-site scripting (XSS) and possibly other attacks by modifying critical variables such as $_SERVER, as demonstrated by injecting web script via the _SERVER[SCRIPT_NAME] parameter. Vulnerabilidad de evaluación de variable dinámica en shared/config/tce_config.php en TCExam 4.0.011 y anteriores permite a atacantes remotos llevar a cabo ataques de secuencias de comandos ... • https://www.exploit-db.com/exploits/3816 •