CVE-2007-2908 – vBulletin 3.6.6 - 'calendar.php' HTML Injection
https://notcve.org/view.php?id=CVE-2007-2908
Cross-site scripting (XSS) vulnerability in calendar.php in Jelsoft vBulletin before 3.6.6 allows remote attackers to inject arbitrary web script or HTML via the title field in a single add action. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en calendar.php de Jelsoft vBulletin versiones anteriores a 3.6.6, permite a atacantes remotos inyectar scripts web o HTML de su elección mediante el campo title en un acción add simple. • https://www.exploit-db.com/exploits/30047 http://osvdb.org/35155 http://secunia.com/advisories/25309 http://securityreason.com/securityalert/2751 http://www.securityfocus.com/archive/1/468731/100/0/threaded http://www.securityfocus.com/bid/24020 https://exchange.xforce.ibmcloud.com/vulnerabilities/34333 •
CVE-2007-2909
https://notcve.org/view.php?id=CVE-2007-2909
Cross-site scripting (XSS) vulnerability in calendar.php in Jelsoft vBulletin 3.6.x before 3.6.7 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors, related to the vb_calendar366_xss_fix_plugin.xml update. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en calendar.php de Jelsoft vBulletin 3.6.x anterior a 3.6.7 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados, relacionado con la actualización vb_calendar366_xss_fix_plugin.xml. • http://osvdb.org/35156 http://www.vbulletin.com/forum/showthread.php?postid=1355012 •
CVE-2007-2910
https://notcve.org/view.php?id=CVE-2007-2910
Cross-site scripting (XSS) vulnerability in Jelsoft vBulletin before 3.6.7 PL1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors, related to the vb_367_xss_fix_plugin.xml update, a related issue to CVE-2007-2909. Una vulnerabilidad de tipo cross-site scripting (XSS) en Jelsoft vBulletin versiones anteriores a 3.6.7 PL1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados, relacionados con la actualización del archivo vb_367_xss_fix_plugin.xml, un problema relacionado con CVE-2007-2909. • http://osvdb.org/35157 http://www.vbulletin.com/forum/showthread.php?postid=1355012 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2007-2911
https://notcve.org/view.php?id=CVE-2007-2911
SQL injection vulnerability in admincp/attachment.php in Jelsoft vBulletin before 3.6.6 allows remote authenticated administrators to execute arbitrary SQL commands via the "Attached After" field (GPC['search']['datelineafter'] variable), a related issue to CVE-2007-1573. Vulnerabilidad de inyección SQL en admincp/attachment.php en Jelsoft vBulletin anterior a 3.6.6 permite a administradores remotos autenticados ejecutar código PHP de su elección mediante el campo "Attached After" (variable GPC['search']['datelineafter']), un asunto relacionado con CVE-2007-1573. • http://osvdb.org/38147 http://www.vbulletin.com/forum/project.php?issueid=21615 https://exchange.xforce.ibmcloud.com/vulnerabilities/34784 •
CVE-2007-1573
https://notcve.org/view.php?id=CVE-2007-1573
SQL injection vulnerability in admincp/attachment.php in Jelsoft vBulletin 3.6.5 allows remote authenticated administrators to execute arbitrary SQL commands via the "Attached Before" field. Una vulnerabilidad de inyección SQL en el archivo admincp/attachment.php en Jelsoft vBulletin versión 3.6.5 permite a los administradores autenticados remotos ejecutar comandos SQL arbitrarios por medio del campo "Attached Before". • http://osvdb.org/34070 http://secunia.com/advisories/24503 http://www.securityfocus.com/archive/1/462963/100/0/threaded http://www.vbulletin.com/forum/project.php?issueid=21615 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •