CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2499
https://notcve.org/view.php?id=CVE-2011-2499
12 Feb 2020 — Mambo CMS through 4.6.5 has multiple XSS. Mambo CMS versiones hasta 4.6.5, presenta múltiples vulnerabilidades de tipo XSS. • https://www.openwall.com/lists/oss-security/2011/06/28/15 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2013-2565
https://notcve.org/view.php?id=CVE-2013-2565
15 Feb 2019 — A vulnerability in Mambo CMS v4.6.5 where the scripts thumbs.php, editorFrame.php, editor.php, images.php, manager.php discloses the root path of the webserver. Una vulnerabilidad en Mambo CMS v4.6.5 en la que los scripts thumbs.php, editorFrame.php, editor.php, images.php y manager.php divulgan la ruta root del servidor web. • http://sourceforge.net/projects/mambo • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 2CVE-2013-2562
https://notcve.org/view.php?id=CVE-2013-2562
09 Jun 2014 — Mambo CMS 4.6.5 stores the MySQL database password in cleartext in the document root, which allows local users to obtain sensitive information via unspecified vectors. Mambo CMS 4.6.5 almacena la contraseña de la base de datos MySQL en texto claro en el root del documento, lo que permite a uausrios locales obtener información sensible a través de vectores no especificados. • http://packetstormsecurity.com/files/108462/mambocms465-permdosdisclose.txt • CWE-255: Credentials Management Errors •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 2CVE-2013-2563
https://notcve.org/view.php?id=CVE-2013-2563
09 Jun 2014 — Mambo CMS 4.6.5 uses world-readable permissions on configuration.php, which allows local users to obtain the admin password hash by reading the file. Mambo CMS 4.6.5 utiliza permisos de lectura universal en configuration.php, lo que permite a usuarios locales obtener el hash de contraseña de administración mediante la lectura del fichero. • http://packetstormsecurity.com/files/108462/mambocms465-permdosdisclose.txt • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 2CVE-2013-2564
https://notcve.org/view.php?id=CVE-2013-2564
09 Jun 2014 — Mambo CMS 4.6.5 allows remote attackers to cause a denial of service (memory and bandwidth consumption) by uploading a crafted file. Mambo CMS 4.6.5 permite a atacantes remotos causar una denegación de servicio (consumo de memoria y ancho de banda) mediante la subida de un fichero manipulado. • http://packetstormsecurity.com/files/108462/mambocms465-permdosdisclose.txt • CWE-399: Resource Management Errors •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 2CVE-2006-7247 – Joomla! 1.0.9 - 'Weblinks' Blind SQL Injection
https://notcve.org/view.php?id=CVE-2006-7247
06 Sep 2012 — SQL injection vulnerability in the Weblinks (com_weblinks) component for Joomla! and Mambo 1.0.9 and earlier allows remote attackers to execute arbitrary SQL commands via the title parameter. Vulnerabilidad de inyección SQL en el componente Weblinks (com_weblinks) para Joomla! y Mambo v1.0.9 y anteriores permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro título. • https://www.exploit-db.com/exploits/1922 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 10EXPL: 6CVE-2011-2917 – Mambo 4.x - 'Zorder' SQL Injection
https://notcve.org/view.php?id=CVE-2011-2917
08 Dec 2011 — SQL injection vulnerability in administrator/index2.php in Mambo CMS 4.6.5 and earlier allows remote attackers to execute arbitrary SQL commands via the zorder parameter. Vulnerabilidad de inyección SQL en administrator/index2.php en Mambo CMS v4.6.5 y anteriores, permite a usuarios remotos ejecutar comandos SQL de su elección a través del parámetro zorder. • https://www.exploit-db.com/exploits/18110 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 2CVE-2010-4944 – Joomla! Component Elite Experts - SQL Injection
https://notcve.org/view.php?id=CVE-2010-4944
09 Oct 2011 — SQL injection vulnerability in the Elite Experts (com_elite_experts) component for Mambo and Joomla! allows remote attackers to execute arbitrary SQL commands via the id parameter in a showExpertProfileDetailed action to index.php. Vulnerabilidad de inyección SQL en el componente Elite Experts (com_elite_experts) para Mambo y Joomla!, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro id en una acción showExpertProfileDetailed a index.php • https://www.exploit-db.com/exploits/15100 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3754
https://notcve.org/view.php?id=CVE-2011-3754
23 Sep 2011 — Mambo 4.6.5 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by includes/sef.php and certain other files. Mambo v4.6.5 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con includes/sef.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 1%CPEs: 3EXPL: 4CVE-2009-4578 – Joomla! Component FacileForms - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2009-4578
06 Jan 2010 — Cross-site scripting (XSS) vulnerability in the Facileforms (com_facileforms) component for Joomla! and Mambo allows remote attackers to inject arbitrary web script or HTML via the Itemid parameter to index.php. Vulnerabilidad de secuencias de comandos (XSS) en el componente Facileforms (com_facileforms) para Joomla! y Mambo permite a atacantes inyectar código web o HTMl de su elección a través del parámetro ITemid en idenx.php. • https://www.exploit-db.com/exploits/10737 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •