CVSS: 6.1EPSS: 0%CPEs: 15EXPL: 0CVE-2011-5256
https://notcve.org/view.php?id=CVE-2011-5256
12 Feb 2013 — Cross-site scripting (XSS) vulnerability in the tooltips in LimeSurvey before 1.91+ Build 11379-20111116, when viewing survey results, allows remote attackers to inject arbitrary web script or HTML via unknown parameters. Vulnerabilidad de ejecución de comandos en sitio remoto (XSS) en la información sobre herramientas de LimeSurvey v1.91 + Build antes de 11379-20111116, al ver los resultados de la encuesta, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros descon... • http://limesurvey.svn.sourceforge.net/viewvc/limesurvey/source/limesurvey/docs/release_notes.txt?view=markup • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4994
https://notcve.org/view.php?id=CVE-2012-4994
19 Sep 2012 — SQL injection vulnerability in admin/admin.php in LimeSurvey before 1.91+ Build 120224 allows remote authenticated users to execute arbitrary SQL commands via the id parameter in a browse action. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en admin/admin.php en LimeSurvey anterior a v1.91+ Build 120224, permite a atacantes remotos autenticados ejecutar comandos SQL de su elección a través del parámetro "id" en una acción de navegación. NOTA: algunos... • http://freecode.com/projects/limesurvey/releases/342070 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4995
https://notcve.org/view.php?id=CVE-2012-4995
19 Sep 2012 — Cross-site scripting (XSS) vulnerability in admin/userrighthandling.php in LimeSurvey before 1.91+ Build 120224 allows remote attackers to inject arbitrary web script or HTML via the full_name parameter in a moduser action to admin/admin.php. NOTE: some of these details are obtained from third party information. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en admin/userrighthandling.php en LimeSurvey antes de v1.91 Build 120224, permite a atacantes remotos inyectar secuencias de coma... • http://freecode.com/projects/limesurvey/releases/342070 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 13EXPL: 3CVE-2012-4927 – LimeSurvey (PHPSurveyor 1.91+ stable) - Blind SQL Injection
https://notcve.org/view.php?id=CVE-2012-4927
15 Sep 2012 — SQL injection vulnerability in Limesurvey (a.k.a PHPSurveyor) before 1.91+ Build 120224 and earlier allows remote attackers to execute arbitrary SQL commands via the fieldnames parameter to index.php. Vulnerabilidad de inyección SQL en Limesurvey (también conocido como PHPSurveyor) anteriores a v1.91+ Build 120224 y anteriores, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro fieldnames sobre index.html • https://www.exploit-db.com/exploits/18508 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3752
https://notcve.org/view.php?id=CVE-2011-3752
23 Sep 2011 — LimeSurvey 1.90+ build9642-20101214 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by admin/statistics.php and certain other files. LimeSurvey v1.90+ build9642-20101214 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con admin/statistics.php y algunos ot... • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2009-1604
https://notcve.org/view.php?id=CVE-2009-1604
11 May 2009 — Unspecified vulnerability in LimeSurvey before 1.82 allows remote attackers to execute commands and obtain sensitive data via unknown attack vectors related to /admin/remotecontrol/. Vulnerabilidad no especificada en LimeSurvey en sus versiones anteriores a la v1.82 que permite a usuarios remotos ejecutar comandos y obtener información confidencial a través de un vector de ataque desconocido relacionado con /admin/remotecontrol/. • http://secunia.com/advisories/34946 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2008-2570
https://notcve.org/view.php?id=CVE-2008-2570
06 Jun 2008 — Multiple unspecified vulnerabilities in LimeSurvey (formerly PHPSurveyor) before 1.71 have unknown impact and attack vectors. Múltiples vulnerabilidades no especificadas in LimeSurvey (formerly PHPSurveyor) anteriores a 1.71 tienen un desconocido impacto en los vectores de ataque. • http://secunia.com/advisories/30495 •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2008-2571
https://notcve.org/view.php?id=CVE-2008-2571
06 Jun 2008 — Cross-site request forgery (CSRF) vulnerability in LimeSurvey (formerly PHPSurveyor) before 1.71 allows remote attackers to change arbitrary quotas as administrators via a "modify quota" action. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en LimeSurvey (formerly PHPSurveyor) anterior a 1.71. Permite a atacantes remotos cambiar los límites arbitrariamente como administradores a través de una acción "modify quota". • http://secunia.com/advisories/30495 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 1CVE-2007-5573 – LimeSurvey 1.52 - 'language.php' Remote File Inclusion
https://notcve.org/view.php?id=CVE-2007-5573
18 Oct 2007 — PHP remote file inclusion vulnerability in classes/core/language.php in LimeSurvey 1.5.2 and earlier allows remote attackers to execute arbitrary PHP code via a URL in the rootdir parameter. Vulnerabilidad de inclusión remota de archivo en PHP en el classes/core/language.php del LimeSurvey 1.5.2 y versiones anteriores permite a atacantes remotos ejecutar código PHP de su elección mediante una URL en el parámetro rootdir. • https://www.exploit-db.com/exploits/4544 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 51%CPEs: 1EXPL: 1CVE-2007-3632 – LimeSurvey (phpsurveyor) 1.49rc2 - Remote File Inclusion
https://notcve.org/view.php?id=CVE-2007-3632
10 Jul 2007 — Multiple PHP remote file inclusion vulnerabilities in LimeSurvey (aka PHPSurveyor) 1.49RC2 allow remote attackers to execute arbitrary PHP code via a URL in the homedir parameter to (1) OLE/PPS/File.php, (2) OLE/PPS/Root.php, (3) Spreadsheet/Excel/Writer.php, or (4) OLE/PPS.php in admin/classes/pear/; or (5) Worksheet.php, (6) Parser.php, (7) Workbook.php, (8) Format.php, or (9) BIFFwriter.php in admin/classes/pear/Spreadsheet/Excel/Writer/. Múltiples vulnerabilidades de inclusión remota de archivo en PHP e... • https://www.exploit-db.com/exploits/4156 •