42 results (0.005 seconds)

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1

There is a SQL Injection vulnerability in PHP-Nuke 8.3.3 in the User Registration section, leading to remote code execution. This occurs because the U.S. state is not validated to be two letters, and the OrderBy field is not validated to be one of LASTNAME, CITY, or STATE. Se presenta una vulnerabilidad de inyección SQL en PHP-Nuke versión 8.3.3, en la sección User Registration, que conlleva a una ejecución de código remota. Esto ocurre porque el estado de U.S. no está comprobado para tener dos letras y el campo OrderBy no está comprobado para ser uno de LASTNAME, CITY, o STATE • https://gist.github.com/stacksmasher007/41e946fc9a5a2f0b6950626cc9d43d47 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 3

SQL injection vulnerability in the Submit_News module for PHP-Nuke 8.3 allows remote attackers to execute arbitrary SQL commands via the topics[] parameter to modules.php. Vulnerabilidad de inyección SQL en el módulo Submit_News para PHP-Nuke 8.3 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro topics[] hacia modules.php. • https://www.exploit-db.com/exploits/39200 http://packetstormsecurity.com/files/126803/phpnuke83news-sql.txt http://www.securityfocus.com/bid/67656 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 3

SQL injection vulnerability in the Web_Links module for PHP-Nuke 8.0 allows remote attackers to execute arbitrary SQL commands via the url parameter in an Add action to modules.php. Vulnerabilidad de inyección de comandos SQL en el módulo Web_Links para PHP-Nuke v8.0, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro url en una acción Add en modules.php • https://www.exploit-db.com/exploits/14589 http://www.exploit-db.com/exploits/14589 http://www.itsecteam.com/en/vulnerabilities/vulnerability58.htm https://exchange.xforce.ibmcloud.com/vulnerabilities/61012 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

Francisco Burzi PHP-Nuke 8.0 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by themes/Odyssey/theme.php and certain other files. Francisco Burzi PHP-Nuke v8.0 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con themes/Odyssey/theme.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/PHP-Nuke-8.0 http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 2

Multiple cross-site scripting (XSS) vulnerabilities in Francisco Burzi PHP-Nuke 8.0 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) sender_name or (2) sender_email parameter in a Feedback action to modules.php. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Francisco Burzi PHP-Nuke v8.0 y anteriores, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro a (1)sender_name o (2)sender_email en la acción Feedback en modules.php. • http://www.openwall.com/lists/oss-security/2011/03/23/8 http://www.openwall.com/lists/oss-security/2011/03/30/7 http://yehg.net/lab/pr0js/advisories/%5Bphpnuke-8.x%5D_cross_site_scripting • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •