CVSS: 9.8EPSS: 0%CPEs: 11EXPL: 2CVE-2009-3703 – WP Forum <= 2.3 - Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2009-3703
Multiple SQL injection vulnerabilities in the WP-Forum plugin before 2.4 for WordPress allow remote attackers to execute arbitrary SQL commands via (1) the search_max parameter in a search action to the default URI, related to wpf.class.php; (2) the forum parameter to an unspecified component, related to wpf.class.php; (3) the topic parameter in a viewforum action to the default URI, related to the remove_topic function in wpf.class.php; or the id parameter in a (4) editpost or (5) viewtopic action to the default URI, related to wpf-post.php. Múltiples vulnerabilidades de inyección SQL en el plugin WP-Forum para WordPress antes de v2.4 permiten a atacantes remotos ejecutar comandos SQL arbitrarios a través de (1) el parámetro 'search_max' en una acción de búsqueda a la URI por defecto, en relación con wpf.class.php; (2) el parámetro 'forum' a un componente no especificado, en relación con wpf.class.php; (3) el parámetro 'topic' en una acción de la vista del Foro de la URI por defecto, en relacion con la función remove_topic en wpf.class.php, o el parámetro 'id' en una acción (4) 'editpost' o (5) 'viewtopic' a la URI por defecto, en relación con wpf-post.php. WP-Forum versions 2.3 and below suffer from remote SQL and blind SQL injection vulnerabilities. • https://www.exploit-db.com/exploits/10488 http://www.securityfocus.com/archive/1/508504/100/0/threaded http://www.securityfocus.com/bid/37357 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 2CVE-2009-0968 – fMoblog <= 2.1 - SQL Injection
https://notcve.org/view.php?id=CVE-2009-0968
SQL injection vulnerability in fmoblog.php in the fMoblog plugin 2.1 for WordPress allows remote attackers to execute arbitrary SQL commands via the id parameter to index.php. NOTE: some of these details are obtained from third party information. Vulnerabilidad de inyección SQL en fmoblog.php en el plugin fMoblog 2.1 para WordPress, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "id" a "index.php". NOTA: algunos de estos detalles han sido obtenidos a partir de la información de terceros. The fMoblog plugin for WordPress is vulnerable to SQL Injection via the 'id' parameter in versions up to, and including, 2.1 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. • https://www.exploit-db.com/exploits/8229 http://osvdb.org/52836 http://secunia.com/advisories/34341 http://www.securityfocus.com/bid/34147 http://www.vupen.com/english/advisories/2009/0752 https://exchange.xforce.ibmcloud.com/vulnerabilities/49296 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •