CVSS: 2.1EPSS: 0%CPEs: 36EXPL: 0CVE-2006-5204
https://notcve.org/view.php?id=CVE-2006-5204
Cross-site scripting (XSS) vulnerability in action_admin/member.php in Invision Power Board (IPB) 2.1.7 and earlier allows remote authenticated users to inject arbitrary web script or HTML via a reference to a script in the avatar setting, which can be leveraged for a cross-site request forgery (CSRF) attack involving forced SQL execution by an admin. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en action_admin/member.php en Invision Power Board (IPB) 2.1.7 y anteriores permite a un usuario remoto validado inyectar secuencias de comandos web o HTML a través de una referancia a la secuencia de comandos en el ajuste de avatar, lo cual puede ser apalancado para un ataque de falsificación de petición en sitios cruzados (CSRF) que afecta a un ejecución forzada de SQL por un administrador. • http://forums.invisionpower.com/index.php?showtopic=227937 http://secunia.com/advisories/22272 http://www.securityfocus.com/archive/1/447710/100/0/threaded http://www.vupen.com/english/advisories/2006/3927 https://exchange.xforce.ibmcloud.com/vulnerabilities/29351 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2006-4155
https://notcve.org/view.php?id=CVE-2006-4155
Unspecified vulnerability in func_topic_threaded.php (aka threaded view mode) in Invision Power Board (IPB) before 2.1.7 21013.60810.s allows remote attackers to "access posts outside the topic." Vulnerabilidad no especificada en func_topic_threaded.php (o modo de vista por por hilos) en Invision Power Board (IPB) anterior a 2.1.7 21013.60810.s permite a atacantes remotos "acceder a mensajes fuera del hilo" • http://forums.invisionpower.com/index.php?&showtopic=225755 http://secunia.com/advisories/21442 http://www.vupen.com/english/advisories/2006/3260 •
CVSS: 7.5EPSS: 2%CPEs: 2EXPL: 1CVE-2006-3544
https://notcve.org/view.php?id=CVE-2006-3544
Multiple SQL injection vulnerabilities in Invision Power Board (IPB) 1.3 Final allow remote attackers to execute arbitrary SQL commands via the CODE parameter in a (1) Stats, (2) Mail, and (3) Reg action in index.php. NOTE: the developer has disputed this issue, stating that "At no point does the CODE parameter touch the database. The CODE parameter is used in a SWITCH statement to determine which function to run. ** IMPUGNADA ** Múltiples vulnerabilidades de inyección SQL en Invision Power Board (IPB) 1.3 Final permiten a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro CODE de una acción (1) Stats, (2) Mail, y (3) Reg de index.php. NOTA: el desarrollador ha negado este problema, afirmando que "En ningún punto el parámetro CODE toca la base de datos. El parámetro CODE se usa en una sentencia SWITCH para determinar qué función ejecutar". • http://securityreason.com/securityalert/1225 http://www.osvdb.org/30084 http://www.securityfocus.com/archive/1/438961/100/0/threaded http://www.securityfocus.com/archive/1/439629/100/0/threaded http://www.securityfocus.com/bid/18782 https://exchange.xforce.ibmcloud.com/vulnerabilities/27555 •
CVSS: 7.5EPSS: 1%CPEs: 23EXPL: 2CVE-2006-3543 – Invision Power Board (IP.Board) 1.x/2.x - Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2006-3543
Multiple SQL injection vulnerabilities in Invision Power Board (IPB) 1.x and 2.x allow remote attackers to execute arbitrary SQL commands via the (1) idcat and (2) code parameters in a ketqua action in index.php; the id parameter in a (3) Attach and (4) ref action in index.php; the CODE parameter in a (5) Profile, (6) Login, and (7) Help action in index.php; and the (8) member_id parameter in coins_list.php. NOTE: the developer has disputed this issue, stating that the "CODE attribute is never present in an SQL query" and the "'ketqua' [action] and file 'coin_list.php' are not standard IPB 2.x features". It is unknown whether these vectors are associated with an independent module or modification of IPB ** IMPUGNADA ** Múltiples vulnerabilidades de inyección SQL en Invision Power Board (IPB) 1.x y 2.x permiten a atacantes remotos ejecutar comandos SQL de su elección a través de los parámetros (1) idcat y (2) code en una acción ketqua de index.php; el parámetro id en una acción (3) Attach y (4) ref de index.php; el parámetro CODE en una acción (5) Profile, (6) Login, y (7) Help de index.php; y el parámetro (8) member_id de coins_list.php. NOTA: el desarrollador ha negado este problema, afirmando que "el atributo CODE no está presente en una consulta SQL" y "[la acción] 'ketqua' y el archivo 'coin_list.php' no son funcionalidades estándar de IPB 2.x". Se desconoce si estos vectores están asociados con un módulo independiente o una modificación de IPB. • https://www.exploit-db.com/exploits/28167 http://securityreason.com/securityalert/1231 http://www.osvdb.org/30084 http://www.securityfocus.com/archive/1/439145/100/0/threaded http://www.securityfocus.com/archive/1/439602/100/0/threaded http://www.securityfocus.com/bid/18836 •
CVSS: 4.3EPSS: 1%CPEs: 14EXPL: 0CVE-2006-3197
https://notcve.org/view.php?id=CVE-2006-3197
Cross-site scripting (XSS) vulnerability in Invision Power Board (IPB) 2.1.6 and earlier allows remote attackers to inject arbitrary web script or HTML via a POST that contains hexadecimal-encoded HTML. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Invision Power Board (IPB) v2.1.6 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una petición POST que contenga código HTML codificado en hexadecimal. • http://forums.invisionpower.com/index.php?showtopic=219126 http://secunia.com/advisories/20772 http://securityreason.com/securityalert/596 http://www.osvdb.org/26747 http://www.securityfocus.com/bid/18571 http://www.vupen.com/english/advisories/2006/2481 https://exchange.xforce.ibmcloud.com/vulnerabilities/27701 •