
CVE-2009-3444 – e107 0.7.16 - Referer header Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2009-3444
28 Sep 2009 — Cross-site scripting (XSS) vulnerability in email.php in e107 0.7.16 and earlier allows remote attackers to inject arbitrary web script or HTML via the HTTP Referer header in a news.1 (aka news to email) action. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en email.php en e107 v0.7.16 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de la cabecera HTTP Referer en una acción news.1 (también conocida como noticias (n... • https://www.exploit-db.com/exploits/9825 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVE-2009-1409 – e107 < 0.7.15 - 'extended_user_fields' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2009-1409
24 Apr 2009 — SQL injection vulnerability in usersettings.php in e107 0.7.15 and earlier, when "Extended User Fields" is enabled and magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the hide parameter, a different vector than CVE-2005-4224 and CVE-2008-5320. Una vulnerabilidad de inyección de SQL en usersettings.php en e107 v0.7.15 y anteriores, cuando la opción "Campos de usuario extendidos" está activado y magic_quotes_gpc está desactivado, permite a atacantes remotos ejecutar... • https://www.exploit-db.com/exploits/8495 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-6466 – e107 Plugin Image Gallery 0.9.6.2 - SQL Injection
https://notcve.org/view.php?id=CVE-2008-6466
13 Mar 2009 — SQL injection vulnerability in image_gallery.php in the Akira Powered Image Gallery (image_gallery) plugin 0.9.6.2 for e107 allows remote attackers to execute arbitrary SQL commands via the image parameter in an image-detail action. Una vulnerabilidad de inyección SQL en el archivo image_gallery.php en el plugin Image Gallery (image_gallery) de Akira Powered versión 0.9.6.2 para e107, permite a los atacantes remotos ejecutar comandos SQL arbitrarios por medio del parámetro image en una acción image-detail . • https://www.exploit-db.com/exploits/6516 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-6438 – e107 Plugin BLOG Engine 2.1.4 - SQL Injection
https://notcve.org/view.php?id=CVE-2008-6438
06 Mar 2009 — SQL injection vulnerability in macgurublog_menu/macgurublog.php in the MacGuru BLOG Engine plugin 2.2 for e107 allows remote attackers to execute arbitrary SQL commands via the uid parameter, a different vector than CVE-2008-2455. NOTE: it was later reported that 2.1.4 is also affected. Vulnerabilidad de inyección SQL en macgurublog_menu/macgurublog.php en la extensión (plugin) MacGuru BLOG Engine v2.2 para e107 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "uid", u... • https://www.exploit-db.com/exploits/6856 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-6208
https://notcve.org/view.php?id=CVE-2008-6208
20 Feb 2009 — Cross-site scripting (XSS) vulnerability in submitnews.php in e107 CMS 0.7.11 allows remote attackers to inject arbitrary web script or HTML via the (1) author_name, (2) itemtitle, and (3) item parameters. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en submitnews.php en e107 CMS v0.7.11 permite a atacantes remotos inyectar web script o HTML de su elección a través de los p... • http://www.juniper.net/security/auto/vulnerabilities/vuln28982.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVE-2008-6114 – e107 Plugin ZoGo-Shop 1.15.4 - 'product' SQL Injection
https://notcve.org/view.php?id=CVE-2008-6114
11 Feb 2009 — SQL injection vulnerability in product_details.php in the Mytipper Zogo-shop 1.15.4 plugin for e107 allows remote attackers to execute arbitrary SQL commands via the product parameter. Vulnerabilidad de inyección SQL en product_details.php en el complemento Mytipper Zogo-shop para e107, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "product". • https://www.exploit-db.com/exploits/7184 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-6069
https://notcve.org/view.php?id=CVE-2008-6069
06 Feb 2009 — SQL injection vulnerability in e107chat.php in the eChat plugin 4.2 for e107, when magic_quotes_gpc is disabled, allows remote attackers to execute arbitrary SQL commands via the nick parameter. Vulnerabilidad de inyección SQL en e107chat.php en el componente eChat v4.2 para e107, cuando magic_quotes_gpc está deshabilitado, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "nick". • http://secunia.com/advisories/30561 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-5320 – e107 < 0.7.13 - 'usersettings.php' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2008-5320
03 Dec 2008 — SQL injection vulnerability in usersettings.php in e107 0.7.13 and earlier allows remote authenticated users to execute arbitrary SQL commands via the ue[] parameter. Vulnerabilidad de inyección SQL en el archivo usersettings.php en e107 0.7.13 y versiones anteriores, permite a los usuarios remotos autentificados ejecutar arbitrariamente comandos SQL a través del parámetro ue[]. • https://www.exploit-db.com/exploits/6791 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-4906 – e107 Plugin lyrics_menu - 'l_id' SQL Injection
https://notcve.org/view.php?id=CVE-2008-4906
04 Nov 2008 — SQL injection vulnerability in lyrics_song.php in the Lyrics (lyrics_menu) plugin 0.42 for e107 allows remote attackers to execute arbitrary SQL commands via the l_id parameter. NOTE: some of these details are obtained from third party information. Una vulnerabilidad de inyección SQL en el fichero lyrics_song.php en el plugin Lyrics (lyrics_menu) plugin para e107 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro l_id. • https://www.exploit-db.com/exploits/6885 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVE-2008-4785 – e107 Plugin alternate_profiles - 'id' SQL Injection
https://notcve.org/view.php?id=CVE-2008-4785
29 Oct 2008 — SQL injection vulnerability in newuser.php in the alternate_profiles plugin, possibly 0.2, for e107 allows remote attackers to execute arbitrary SQL commands via the id parameter. Vulnerabilidad de inyección SQL en newuser.php en el plugin alternate_profiles, posiblemente 0.2, para e107 permite a un atacante remoto ejecutar código SQL de su elección por medio del parámetro id. • https://www.exploit-db.com/exploits/6849 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •