CVSS: 9.3EPSS: 1%CPEs: 1EXPL: 1CVE-2007-4120
https://notcve.org/view.php?id=CVE-2007-4120
Multiple PHP remote file inclusion vulnerabilities in Jelsoft vBulletin 3.6.5 allow remote attackers to execute arbitrary PHP code via a URL in the (1) classfile parameter to includes/functions.php, the (2) nextitem parameter to includes/functions_cron.php, and the (3) specialtemplates parameter to includes/functions_forumdisplay.php. NOTE: this issue is disputed by a reliable third party who states "further investigation has revealed that the application is not vulnerable to this issue." The original researcher also has a history of erroneous claims ** IMPUGNADA ** Múltiples vulnerabilidades de inclusión remota de archivo en PHP en Jelsoft vBulletin 3.6.5 permite a atacantes remotos ejecutar código PHP de su elección mediante un URL en los parámetros (1) classfile a includes/functions.php, (2) nextitem a includes/functions_cron.php, y (3) specialtemplates a includes/functions_forumdisplay.php. NOTA: este asunto es impugnado por una tercera parte de fiar que afirma "investigaciones posteriores han revelado que la aplicación no es vulnerable a este asunto". El investigador original también tiene un historial de reclamaciones erróneas. • http://securityreason.com/securityalert/2941 http://www.securityfocus.com/archive/1/475105/100/0/threaded http://www.securityfocus.com/archive/1/475151/100/0/threaded http://www.securityfocus.com/bid/25141 •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2007-3326
https://notcve.org/view.php?id=CVE-2007-3326
Multiple directory traversal vulnerabilities in vBulletin 3.x.x allow remote attackers to redirect visitors to arbitrary local files via a .. (dot dot) in (1) the loc parameter to admincp/index.php and (2) the Hyperlink information URl field for post Topic in showthread.php, enabling cross-site scripting (XSS) and other attacks, a different vulnerability than CVE-2005-3025.2. Múltiples vulnerabilidades de escalado de directorio en el vBulletin 3.x.x permite a atacantes remotos redirigir a los visitantes a ficheros locales de su elección a través de .. (punto punto) en el (1) parámetro loc del admincp/index.php y (2) el campo URI de información de hiper-enlace para el post Topic en el showthread.php, habilitando secuencias de comandos en sitios cruzados (XSS) y otros ataques. Vulnerabilidad diferente a la CVE-2005-3025.2. • http://securityreason.com/securityalert/2820 http://www.securityfocus.com/archive/1/471835/100/0/threaded http://www.securityfocus.com/archive/1/471838/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/34956 •
CVSS: 8.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-2911
https://notcve.org/view.php?id=CVE-2007-2911
SQL injection vulnerability in admincp/attachment.php in Jelsoft vBulletin before 3.6.6 allows remote authenticated administrators to execute arbitrary SQL commands via the "Attached After" field (GPC['search']['datelineafter'] variable), a related issue to CVE-2007-1573. Vulnerabilidad de inyección SQL en admincp/attachment.php en Jelsoft vBulletin anterior a 3.6.6 permite a administradores remotos autenticados ejecutar código PHP de su elección mediante el campo "Attached After" (variable GPC['search']['datelineafter']), un asunto relacionado con CVE-2007-1573. • http://osvdb.org/38147 http://www.vbulletin.com/forum/project.php?issueid=21615 https://exchange.xforce.ibmcloud.com/vulnerabilities/34784 •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 1CVE-2007-2912
https://notcve.org/view.php?id=CVE-2007-2912
Unspecified vulnerability in Jelsoft vBulletin before 3.6.6, when unauthenticated User Infraction Permissions is disabled, allows remote attackers to see the infraction "red flag" for a deleted user. Vulnerabilidad no especificada en Jelsoft vBulletin anterior a 3.6.6, se deshabilita la infracción de permisos de usuarios no autenticados, permite a atacantes remotos ver la "bandera roja" de la infracción para un usuario eliminado. • http://osvdb.org/38616 http://www.vbulletin.com/forum/project.php?issueid=21481 •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2007-2909
https://notcve.org/view.php?id=CVE-2007-2909
Cross-site scripting (XSS) vulnerability in calendar.php in Jelsoft vBulletin 3.6.x before 3.6.7 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors, related to the vb_calendar366_xss_fix_plugin.xml update. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en calendar.php de Jelsoft vBulletin 3.6.x anterior a 3.6.7 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados, relacionado con la actualización vb_calendar366_xss_fix_plugin.xml. • http://osvdb.org/35156 http://www.vbulletin.com/forum/showthread.php?postid=1355012 •