CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16397
https://notcve.org/view.php?id=CVE-2018-16397
In LimeSurvey before 3.14.7, an admin user can leverage a "file upload" question to read an arbitrary file, En LimeSurvey en versiones anteriores a la 3.14.7, un usuario administrador puede aprovechar una pregunta "file upload" para leer un archivo arbitrario. • https://github.com/LimeSurvey/LimeSurvey/blob/3be9b41e76826b57f5860d18d93b23f47d59d2e4/docs/release_notes.txt#L51 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-4628
https://notcve.org/view.php?id=CVE-2015-4628
SQL injection vulnerability in application/controllers/admin/questiongroups.php in LimeSurvey before 2.06+ Build 150618 allows remote authenticated administrators to execute arbitrary SQL commands via the sid parameter. Vulnerabilidad de inyección SQL en application/controllers/admin/questiongroups.php en LimeSurvey anterior a 2.06+ Build 150618 permite a administradores remotos autenticados ejecutar comandos SQL arbitrarios a través del parámetro sid. • http://www.securityfocus.com/bid/75301 https://bugs.limesurvey.org/view.php?id=9694 https://github.com/LimeSurvey/LimeSurvey/commit/b09edc0dbd18d8459ade4c7c941e562c16564f9e https://github.com/LimeSurvey/LimeSurvey/commit/e15861a65b7028adfc23ef6af8563f645e318548 https://github.com/LimeSurvey/LimeSurvey/pull/331 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 2.6EPSS: 0%CPEs: 15EXPL: 0CVE-2011-5256
https://notcve.org/view.php?id=CVE-2011-5256
Cross-site scripting (XSS) vulnerability in the tooltips in LimeSurvey before 1.91+ Build 11379-20111116, when viewing survey results, allows remote attackers to inject arbitrary web script or HTML via unknown parameters. Vulnerabilidad de ejecución de comandos en sitio remoto (XSS) en la información sobre herramientas de LimeSurvey v1.91 + Build antes de 11379-20111116, al ver los resultados de la encuesta, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros desconocidos. • http://limesurvey.svn.sourceforge.net/viewvc/limesurvey/source/limesurvey/docs/release_notes.txt?view=markup http://secunia.com/advisories/46831 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4994
https://notcve.org/view.php?id=CVE-2012-4994
SQL injection vulnerability in admin/admin.php in LimeSurvey before 1.91+ Build 120224 allows remote authenticated users to execute arbitrary SQL commands via the id parameter in a browse action. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en admin/admin.php en LimeSurvey anterior a v1.91+ Build 120224, permite a atacantes remotos autenticados ejecutar comandos SQL de su elección a través del parámetro "id" en una acción de navegación. NOTA: algunos de estos detalles han sido obtenidos a partir de información de terceros. • http://freecode.com/projects/limesurvey/releases/342070 http://osvdb.org/79688 http://secunia.com/advisories/48184 http://www.limesurvey.org/en/stable-release https://exchange.xforce.ibmcloud.com/vulnerabilities/73564 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4995
https://notcve.org/view.php?id=CVE-2012-4995
Cross-site scripting (XSS) vulnerability in admin/userrighthandling.php in LimeSurvey before 1.91+ Build 120224 allows remote attackers to inject arbitrary web script or HTML via the full_name parameter in a moduser action to admin/admin.php. NOTE: some of these details are obtained from third party information. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en admin/userrighthandling.php en LimeSurvey antes de v1.91 Build 120224, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un parámetro full_name en una acción moduser a admin/admin.php. NOTA: algunos de estos detalles han sido obtenidos a partir de información de terceros. • http://freecode.com/projects/limesurvey/releases/342070 http://osvdb.org/79687 http://secunia.com/advisories/48184 http://www.limesurvey.org/en/stable-release https://exchange.xforce.ibmcloud.com/vulnerabilities/73563 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •