CVE-2012-4342
https://notcve.org/view.php?id=CVE-2012-4342
Multiple cross-site scripting (XSS) vulnerabilities in Gallery 3 before 3.0.4 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en Gallery v3 anterior a v3.0.4 permite a atacantes remotos inyectar código web o HTML arbitrario a través de vectores no especificados. • http://gallery.menalto.com/gallery_3_0_4 http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082954.html http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082995.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-4353
https://notcve.org/view.php?id=CVE-2010-4353
Unrestricted file upload vulnerability in modules/gallery/models/item.php in Menalto Gallery before 3.0 and beta allows remote authenticated users with upload permissions to execute arbitrary code by uploading a file with an executable extension, then accessing it via a direct request to the file in an unspecified directory. Vulnerabilidad de subida de archivos sin restricciones en modules/gallery/models/item.php en Menalto Gallery anterior a v3.0 y beta permite a usuarios autenticados de forma remota con permisos de subida ejecutar código de su elección subiendo un archivo con una extensión ejecutable, y después accediendo a él a través de una petición directa al archivo en un directorio no especificado. • http://gallery.menalto.com/gallery_3.0.1_released http://osvdb.org/70628 http://secunia.com/advisories/43028 http://www.securityfocus.com/bid/45964 https://exchange.xforce.ibmcloud.com/vulnerabilities/64870 •
CVE-2008-5296
https://notcve.org/view.php?id=CVE-2008-5296
Gallery 1.5.x before 1.5.10 and 1.6 before 1.6-RC3, when register_globals is enabled, allows remote attackers to bypass authentication and gain administrative via unspecified cookies. NOTE: some of these details are obtained from third party information. Gallery 1.5.x antes de la versión 1.5.10 y 1.6 antes de 1.6 RC3, permite a atacantes remotos eludir el proceso de autenticación y obtener permisos de administración, cuando register_globals esté activado, a través de "cookies" no especificadas. NOTA: Algunos de estos detalles se obtienen a partir de información de terceros. • http://gallery.menalto.com/last_official_G1_releases http://osvdb.org/50089 http://secunia.com/advisories/32817 http://www.securityfocus.com/bid/32440 https://exchange.xforce.ibmcloud.com/vulnerabilities/46804 • CWE-287: Improper Authentication •
CVE-2008-4803 – Simple PHP Scripts Gallery 0.x - 'index.php' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2008-4803
Cross-site scripting (XSS) vulnerability in index.php in Simple PHP Scripts gallery 0.1, 0.3, and 0.4 allows remote attackers to inject arbitrary web script or HTML via the gallery parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en index.php en Simple PHP Scripts gallery 0.1, 0.3 y 0.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante el parámetro gallery. NOTA: el origen de esta información es desconocido; los detalles se han obtenido únicamente de información de terceros. • https://www.exploit-db.com/exploits/31319 http://www.securityfocus.com/bid/28056 https://exchange.xforce.ibmcloud.com/vulnerabilities/40985 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-4483 – Crux Gallery 1.32 - 'theme' Local File Inclusion
https://notcve.org/view.php?id=CVE-2008-4483
Directory traversal vulnerability in index.php in Crux Gallery 1.32 and earlier, when magic_quotes_gpc is disabled, allows remote attackers to include and execute arbitrary local files via a .. (dot dot) in the theme parameter. Vulnerabilidad de salto de directorio en el archivo index.php en Crux Gallery 1.32 y versiones anteiores, cuando magic_quotes_gpc es deshabiitado, permite a los atacantes remotos incluir y ejecutar arbitrariamente archivos locales a través de .. (punto punto) en el parámetro theme. • https://www.exploit-db.com/exploits/6645 http://secunia.com/advisories/32058 http://securityreason.com/securityalert/4366 http://www.securityfocus.com/bid/31516 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •