CVE-2006-6779 – vBulletin 3.5.x/3.6.x - SWF Script Injection
https://notcve.org/view.php?id=CVE-2006-6779
Cross-site scripting (XSS) vulnerability in Jelsoft vBulletin allows remote attackers to inject arbitrary web script or HTML via an SWF file that uses ActionScript to trigger execution of JavaScript. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Jelsoft vBulletin permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante un archivo SWFque utiliza ActionScript para disparar la ejecución de JavaScript. • https://www.exploit-db.com/exploits/29338 http://securityreason.com/securityalert/2084 http://www.securityfocus.com/archive/1/455265/100/0/threaded http://www.securityfocus.com/archive/1/455351/100/0/threaded http://www.securityfocus.com/archive/1/455414/100/0/threaded http://www.securityfocus.com/bid/21736 https://exchange.xforce.ibmcloud.com/vulnerabilities/31119 •
CVE-2006-6040 – vBulletin 3.6.x - Admin Control Panel Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2006-6040
Multiple cross-site scripting (XSS) vulnerabilities in admincp/index.php in Jelsoft vBulletin 3.6.x allow remote attackers to inject arbitrary web script or HTML via (1) the prefs parameter in a buildnavprefs action or (2) the navprefs parameter in a savenavprefs action. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en admincp/index.php de Jelsoft vBulletin 3.6.x permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro (1) prefs en una acción de tipo "buildnavprefs" (construcción de preferencias de navegación) o (2) el parámetro navprefs en una acción de tipo "savenavprefs" (guardar preferencias de navegación). • https://www.exploit-db.com/exploits/29079 http://secunia.com/advisories/23011 http://securityreason.com/securityalert/1903 http://www.securityfocus.com/archive/1/451959/100/0/threaded http://www.securityfocus.com/bid/21157 http://www.vbulletin.com/forum/showthread.php?postid=1256434 http://www.vupen.com/english/advisories/2006/4599 https://exchange.xforce.ibmcloud.com/vulnerabilities/30408 •
CVE-2006-5104 – vBulletin 2.3.x - 'global.php' SQL Injection
https://notcve.org/view.php?id=CVE-2006-5104
SQL injection vulnerability in global.php in Jelsoft vBulletin 2.x allows remote attackers to execute arbitrary SQL commands via the templatesused parameter. Vulnerabilidad de inyección SQL en global.php en Jelsoft vBulletin 2.x permite a un atacante remoto ejecutar comandos SQL de su elección a través del parámetro templatesused. • https://www.exploit-db.com/exploits/28694 http://securityreason.com/securityalert/1661 http://www.securityfocus.com/archive/1/447010/100/0/threaded http://www.securityfocus.com/bid/20214 https://exchange.xforce.ibmcloud.com/vulnerabilities/29174 •
CVE-2006-4272
https://notcve.org/view.php?id=CVE-2006-4272
Jelsoft vBulletin 3.5.4 allows remote attackers to register multiple arbitrary users and cause a denial of service (resource consumption) via a large number of requests to register.php. NOTE: the vendor has disputed this vulnerability, stating "If you have the CAPTCHA enabled then the registrations wont even go through. ... if you are talking about the flood being allowed in the first place then surely this is something that should be handled at the server level. ** IMPUGNADA ** Jelsoft vBulletin 3.5.4 permite a atacantes remotos provocar una denegación de servicio (agotamiento de recursos) mediante un gran número de peticiones a register.php. NOTA: el fabricante ha impugnado esta vulnerabilidad, afirmando "Si tienes el CAPTCHA activado entonces los registros ni siquiera podrán continuar. ... si estás hablando de la inundación que se permite en primer lugar entonces seguro que esto se algo que debería ser manejado a nivel de servidor." • http://archives.neohapsis.com/archives/bugtraq/2006-08/0381.html http://securityreason.com/securityalert/1426 http://www.securityfocus.com/archive/1/443648/100/0/threaded •
CVE-2006-4273 – vBulletin 3.0.14 - 'global.php' Encoded Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2006-4273
Cross-site scripting (XSS) vulnerability in Jelsoft vBulletin 3.5.4 and 3.6.0 allows remote attackers to inject arbitrary web script or HTML by uploading an attachment with a .pdf extension that contains JavaScript, which is processed as script by Microsoft Internet Explorer 6. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Jelsoft vBulletin 3.5.4 y 3.6.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección enviando un adjunto con extensión .pdf que contiene JavaScript, lo cual es procesado como una secuencia de comandos por Microsoft Internet Explorer 6. • https://www.exploit-db.com/exploits/28342 http://archives.neohapsis.com/archives/bugtraq/2006-08/0074.html http://archives.neohapsis.com/archives/bugtraq/2006-08/0082.html http://www.osvdb.org/27778 http://www.securityfocus.com/archive/1/442488/100/200/threaded http://www.securityfocus.com/bid/19334 https://exchange.xforce.ibmcloud.com/vulnerabilities/28239 •