CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2007-4913
https://notcve.org/view.php?id=CVE-2007-4913
ips_kernel/class_upload.php in Invision Power Board (IPB or IP.Board) 2.3.1 up to 20070912 allows remote attackers to upload arbitrary script files with crafted image filenames to uploads/, where they are saved with a .txt extension and are not executable. NOTE: there are limited usage scenarios under which this would be a vulnerability, but it is being tracked by CVE since the vendor has stated it is security-relevant. ips_kernel/class_upload.php en Invision Power Board (IPB o IP.Board) 2.3.1 hasta la 20070912 permite a atacantes remotos actualizar secuencias de comandos de su elección a través de archivos con nombres de archivo de imágenes manipuladas en uploads/, donde se salvan con una extensión .txt y no son ejecutables. NOTA: hay ciertos panoramas limitados de uso bajo los cuales esto sería una vulnerabilidad, pero está siendo seguida por CVE puesto que el vendedor ha indicado que es seguridad-relevante. • http://forums.invisionpower.com/index.php?act=attach&type=post&id=11870 http://forums.invisionpower.com/index.php?showtopic=237075 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2007-2963
https://notcve.org/view.php?id=CVE-2007-2963
Multiple cross-site scripting (XSS) vulnerabilities in Invision Power Board (IPB or IP.Board) 2.2.2, and possibly earlier, allows remote attackers to inject arbitrary web script or HTML via (1) module_bbcodeloader.php, (2) module_div.php, (3) module_email.php, (4) module_image.php, (5) module_link.php, or (6) the editorid parameter to module_table.php in jscripts/folder_rte_files/. NOTE: some details were obtained from third party sources. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el Invision Power Board (IPB o IP.Board) 2.2.2 y, posiblemente, versiones anteriores, permiten a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección a través de (1) module_bbcodeloader.php, (2) module_div.php, (3) module_email.php, (4) module_image.php, (5) module_link.php o (6) el parámetro editorid en el module_table.php del jscripts/folder_rte_files/. NOTA: algunos de estos detalles se obtienen a partir de la información de terceros. • http://forums.invisionpower.com/index.php?showtopic=235069 http://osvdb.org/35430 http://osvdb.org/35431 http://osvdb.org/35432 http://osvdb.org/35433 http://osvdb.org/35434 http://osvdb.org/35435 http://secunia.com/advisories/25437 http://www.securityfocus.com/bid/24244 http://www.vupen.com/english/advisories/2007/1993 https://exchange.xforce.ibmcloud.com/vulnerabilities/34616 •
CVSS: 9.3EPSS: 0%CPEs: 36EXPL: 0CVE-2006-7064
https://notcve.org/view.php?id=CVE-2006-7064
Cross-site scripting (XSS) vulnerability in forum/admin.php for Invision Power Board (IPB) 2.1.6 and earlier allows remote attackers to inject arbitrary web script or HTML as the administrator via the phpinfo parameter. Vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) en forum/admin.php para Invision Power Board (IPB) 2.1.6 y anteriores permiten a atacantes remotos inyectar secuencias de comandos qeb o HTML como administrador a través del parámetro phpinfo. • http://archives.neohapsis.com/archives/bugtraq/2006-06/0204.html http://securityreason.com/securityalert/2307 http://www.securityfocus.com/bid/18450 https://exchange.xforce.ibmcloud.com/vulnerabilities/27069 •
CVSS: 2.1EPSS: 0%CPEs: 36EXPL: 0CVE-2006-5204
https://notcve.org/view.php?id=CVE-2006-5204
Cross-site scripting (XSS) vulnerability in action_admin/member.php in Invision Power Board (IPB) 2.1.7 and earlier allows remote authenticated users to inject arbitrary web script or HTML via a reference to a script in the avatar setting, which can be leveraged for a cross-site request forgery (CSRF) attack involving forced SQL execution by an admin. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en action_admin/member.php en Invision Power Board (IPB) 2.1.7 y anteriores permite a un usuario remoto validado inyectar secuencias de comandos web o HTML a través de una referancia a la secuencia de comandos en el ajuste de avatar, lo cual puede ser apalancado para un ataque de falsificación de petición en sitios cruzados (CSRF) que afecta a un ejecución forzada de SQL por un administrador. • http://forums.invisionpower.com/index.php?showtopic=227937 http://secunia.com/advisories/22272 http://www.securityfocus.com/archive/1/447710/100/0/threaded http://www.vupen.com/english/advisories/2006/3927 https://exchange.xforce.ibmcloud.com/vulnerabilities/29351 •
CVSS: 5.1EPSS: 0%CPEs: 36EXPL: 0CVE-2006-5203
https://notcve.org/view.php?id=CVE-2006-5203
Invision Power Board (IPB) 2.1.7 and earlier allows remote restricted administrators to inject arbitrary web script or HTML, or execute arbitrary SQL commands, via a forum description that contains a crafted image with PHP code, which is executed when the user visits the "Manage Forums" link in the Admin control panel. Invision Power Board (IPB) 2.1.7 y anteriores permite a un administrador remoto restringido inyectar secuencias de comandos web o HTML de su elección, o ejecutar comandos SQL de su elección, a través de una descripción del foro que contenga una imagen artesanal con código PHP, lo cual es esjecutado cuando el usuario visita "Mange Forum" enlazando en el panel de control de Admin. • http://www.securityfocus.com/archive/1/447710/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/29352 •