CVE-2010-1713 – PostNuke 0.764 Module modload - SQL Injection
https://notcve.org/view.php?id=CVE-2010-1713
SQL injection vulnerability in modules.php in PostNuke 0.764 allows remote attackers to execute arbitrary SQL commands via the sid parameter in a News article modload action. Vulnerabilidad de inyección SQL en "modules.php" de PostNuke v0.764 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro "sid" en una acción "modload" en un artículo de noticias. • https://www.exploit-db.com/exploits/12410 http://packetstormsecurity.org/1004-exploits/postnukemodload-sql.txt http://www.exploit-db.com/exploits/12410 http://www.securityfocus.com/bid/39713 https://exchange.xforce.ibmcloud.com/vulnerabilities/58204 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2008-1591 – PostNuke 0.764 - Blind SQL Injection
https://notcve.org/view.php?id=CVE-2008-1591
The pnVarPrepForStore function in PostNuke 0.764 and earlier skips input sanitization when magic_quotes_runtime is enabled, which allows remote attackers to conduct SQL injection attacks and execute arbitrary SQL commands via input associated with server variables, as demonstrated by the CLIENT_IP HTTP header (HTTP_CLIENT_IP variable). La función pnVarPrepForStore en PostNuke 0.764 y anteriores se salta las entradas de limpieza cuando está habilitado magic_quotes_runtime, lo que permite a atacantes remotos llevar a cabo ataques de inyección SQL y ejecutar comandos SQL de su elección a través de entradas asociadas con variables de servidor, como se demostró por la cabecera CLIENT_IP HTTP (variable HTTP_CLIENT_IP). • https://www.exploit-db.com/exploits/5292 http://www.securityfocus.com/bid/28407 https://exchange.xforce.ibmcloud.com/vulnerabilities/41375 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2007-0384
https://notcve.org/view.php?id=CVE-2007-0384
Cross-site scripting (XSS) vulnerability in preview in the reviews section in PostNuke 0.764 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilida de secuencias de comandos en sitios cruzados (XSS) en preview en la sección reviews en PostNuke 0.764 permite a atacantes remotos inyectar secuencias de comando web o HTML a través de vectores no especificados. • http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0355.html http://noc.postnuke.com/plugins/scmsvn/viewcvs.php/trunk/Historic/PostNuke7x/html/modules/?root=postnuke http://osvdb.org/35473 http://www.hackers.ir/advisories/festival.txt http://www.securityfocus.com/bid/22119 •
CVE-2007-0385
https://notcve.org/view.php?id=CVE-2007-0385
The faq section in PostNuke 0.764 allows remote attackers to obtain sensitive information (the full path) via "unvalidated output" in FAQ/index.php, possibly involving an undefined id_cat variable. La sección faq en Postnuke 0.764 permite a atacantes remotos obtener información sensible (la ruta completa) a través "salidas no validas) en FAQ/index.php, posiblemente afectando a la variable no definida id_cat. • http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0355.html http://noc.postnuke.com/plugins/scmsvn/viewcvs.php/trunk/Historic/PostNuke7x/html/modules/?root=postnuke http://noc.postnuke.com/plugins/scmsvn/viewcvs.php/trunk/Historic/PostNuke7x/html/modules/FAQ/index.php?root=postnuke&r1=20350&r2=20911 http://osvdb.org/35472 http://www.hackers.ir/advisories/festival.txt •
CVE-2007-0386
https://notcve.org/view.php?id=CVE-2007-0386
Unspecified vulnerability in the rating section in PostNuke 0.764 has unknown impact and attack vectors, related to "an interesting bug." Vulnerabilidad no especificada en la sección rating en PostNuke 0.764 tiene un impacto desconocido y vectores de ataque, relacionado con "un bug interesante". • http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0355.html http://osvdb.org/35471 http://www.hackers.ir/advisories/festival.txt •