CVE-2010-1713 – PostNuke 0.764 Module modload - SQL Injection
https://notcve.org/view.php?id=CVE-2010-1713
SQL injection vulnerability in modules.php in PostNuke 0.764 allows remote attackers to execute arbitrary SQL commands via the sid parameter in a News article modload action. Vulnerabilidad de inyección SQL en "modules.php" de PostNuke v0.764 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "sid" en una acción "modload" en un artículo de noticias. • https://www.exploit-db.com/exploits/12410 http://packetstormsecurity.org/1004-exploits/postnukemodload-sql.txt http://www.exploit-db.com/exploits/12410 http://www.securityfocus.com/bid/39713 https://exchange.xforce.ibmcloud.com/vulnerabilities/58204 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2009-0728 – MDPro Module My_eGallery - 'pid' SQL Injection
https://notcve.org/view.php?id=CVE-2009-0728
SQL injection vulnerability in the My_eGallery module for MAXdev MDPro (MD-Pro) and Postnuke allows remote attackers to execute arbitrary SQL commands via the pid parameter in a showpic action to index.php. Vulnerabilidad de inyección SQL en el módulo My-eGallery para MAXdev MDPro (MD-Pro) y Postnuke, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro pid en una acción showpic de index.php. • https://www.exploit-db.com/exploits/8100 http://www.securityfocus.com/bid/33871 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-2191 – PostNuke Module pnEncyclopedia 0.2.0 - SQL Injection
https://notcve.org/view.php?id=CVE-2008-2191
SQL injection vulnerability in the pnEncyclopedia module 0.2.0 and earlier for PostNuke allows remote attackers to execute arbitrary SQL commands via the id parameter in a display_term action to index.php. Vulnerabilidad de inyección SQL en pnEncyclopedia módulo 0.2.0 y anteriores para PostNuke; permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro id en una acción display_term en index.php. • https://www.exploit-db.com/exploits/5541 http://securityreason.com/securityalert/3876 http://www.securityfocus.com/archive/1/491606/100/0/threaded http://www.securityfocus.com/bid/29046 https://exchange.xforce.ibmcloud.com/vulnerabilities/42185 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-2012 – PostNuke Module PostSchedule 1.0 - 'eid' SQL Injection
https://notcve.org/view.php?id=CVE-2008-2012
SQL injection vulnerability in index.php in the PostSchedule 1.0 module for PostNuke allows remote attackers to execute arbitrary SQL commands via the eid parameter in an event action. Vulnerabilidad de inyección SQL en index.php en el módulo PostSchedule 1.0 para PostNuke permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro eid en una acción event. • https://www.exploit-db.com/exploits/5495 http://www.securityfocus.com/bid/28931 https://exchange.xforce.ibmcloud.com/vulnerabilities/42010 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-1591 – PostNuke 0.764 - Blind SQL Injection
https://notcve.org/view.php?id=CVE-2008-1591
The pnVarPrepForStore function in PostNuke 0.764 and earlier skips input sanitization when magic_quotes_runtime is enabled, which allows remote attackers to conduct SQL injection attacks and execute arbitrary SQL commands via input associated with server variables, as demonstrated by the CLIENT_IP HTTP header (HTTP_CLIENT_IP variable). La función pnVarPrepForStore en PostNuke 0.764 y anteriores se salta las entradas de limpieza cuando está habilitado magic_quotes_runtime, lo que permite a atacantes remotos llevar a cabo ataques de inyección SQL y ejecutar comandos SQL de su elección a través de entradas asociadas con variables de servidor, como se demostró por la cabecera CLIENT_IP HTTP (variable HTTP_CLIENT_IP). • https://www.exploit-db.com/exploits/5292 http://www.securityfocus.com/bid/28407 https://exchange.xforce.ibmcloud.com/vulnerabilities/41375 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •