Vulnerabilidades

Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en eyeOS anterior a 0.9.1 permite a un atacante remoto inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados que afectan a (1) eyeNav y (2) system/baixar.php.

Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en DanPHPSupport 0.5 y otras versiones anteriores a 1.0, permiten a un atacante remoto inyectar secuencias de comandos web o HTML de su elección a través (1) del parámetro page en index.php o el parámetro (2) do en admin.php.

Vulnerabilidad PHP de inclusión remota de archivo en admin/testing/tests/0004_init_urls.php en syntaxCMS 1.1.1 hasta la versión 1.3 permite a atacantes remotos ejecutar código PHP arbitrario a través de una URL en el parámetro init_path.

Vulnerabilidad de XSS en class.tx_indexedsearch.php en la extensión Indexed Search 2.9.0 para Typo3 en versiones anteriores a 4.0.2 y versiones anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro de búsqueda.

vulnerabilidad de actualización de archivo no restrictivo en admin/x_image.php en Szava Gyula y Csaba Tamas e-Vision CMS, probablemente 1.0, permite a un atacante remoto actualizar ficheros de su elección en el directorio /imagebank.<br />

Vulnerabilidad de inyección SQL en admin/all_users.php en Szava Gyula y Csaba Tamas e-Vision CMS, probablemente 1.0, permite a un atacante remoto ejecutar comandos SQL de su elección a través del parámetro from.

ContentKeeper 123.25 y contraseñas anteriores de los lugares en texto plano en un elemento de la en cgi-bin/ck/changepw.cgi, permite que usuarios remotos validados obtengan contraseñas a través de esta URI.

Google Mini 4.4.102.M.36 y anteriores, permite a un atacante remoto obtener información sensible a través de una petición directa a /search con un parámetro client no válido, lo cual revela la ruta en un mensaje de error.

Vulnerabilidad PHP de inclusión remota de archivo en SolidState 0.4 y anteriores permite a un atacante remoto ejecutar código PHP de su elección a través de una URL en el parámetro base_path en las secuencias de comandos manager/pages incluyendo <br /> 1) AccountsPage.class.php, (2) AddInvoicePage.class.php, (3) AddIPAddressPage.class.php, (4) AddPaymentPage.class.php, (5) AddTaxRulePage.class.php, (6) AssignDomainPage.class.php, (7) AssignHostingPage.class.php, (8) AssignProductPage.class.php, (9) BillingPage.class.php, (10) BillingPaymentPage.class.php, (11) BrowseAccountsPage.class.php, (12) BrowseInvoicesPage.class.php, (13) ConfigureEditUserPage.class.php, (14) ConfigureNewUserPage.class.php, (15) ConfigureNewUserReceiptPage.class.php, (16) ConfigureUsersPage.class.php, (17) DeleteAccountPage.class.php, (18) DeleteDomainServicePage.class.php, (19) DeleteHostingServicePage.class.php, (20) DeleteInvoicePage.class.php, (21) DeleteProductPage.class.php, (22) DeleteServerPage.class.php, (23) DomainServicesPage.class.php, (24) DomainsPage.class.php, (25) EditAccountPage.class.php, (26) EditDomainPage.class.php, (27) EditDomainServicePage.class.php, (28) EditHostingServicePage.class.php, (29) EditPaymentPage.class.php, (30) EditProductPage.class.php, (31) EditServerPage.class.php, (32) EmailInvoicePage.class.php, (33) ExecuteOrderPage.class.php, (34) ExpiredDomainsPage.class.php, (35) FulfilledOrdersPage.class.php, (36) GenerateInvoicesPage.class.php, (37) HomePage.class.php, (38) InactiveAccountsPage.class.php, (39) IPManagerPage.class.php, (40) LoginPage.class.php, (41) LogPage.class.php, (42) ModulesPage.class.php, (43) NewAccountPage.class.php, (44) NewDomainServicePage.class.php, (45) NewProductPage.class.php, (46) OutstandingInvoicesPage.class.php, (47) PendingAccountsPage.class.php, (48) PendingOrdersPage.class.php, (49) PrintInvoicePage.class.php, (50) ProductsPage.class.php, (51) RegisterDomainPage.class.php, (52) RegisteredDomainsPage.class.php, (53) ServersPage.class.php, (54) ServicesHostingServicesPage.class.php, (55) ServicesNewHostingPage.class.php, (56) ServicesPage.class.php, (57) ServicesWebHostingPage.class.php, (58) SettingsPage.class.php, (59) TaxesPage.class.php, (60) TransferDomainPage.class.php, (61) ViewAccountPage.class.php, (62) ViewDomainServicePage.class.php, (63) ViewHostingServicePage.class.php, (64) ViewInvoicePage.class.php, (65) ViewLogMessagePage.class.php, (66) ViewOrderPage.class.php, (67) ViewProductPage.class.php, (68) ViewServerPage.class.php, (69) WelcomeEmailPage.class.php; and (70) modules/RegistrarModule.class.php, (71) modules/SolidStateModule.class.php, (72) modules/authorizeaim/authorizeaim.class.php, y (73) modules/authorizeaim/pages/AAIMConfigPage.class.php.<br />

Múltiples vulnerabilidades PHP de inclusión remota de archivos en redgun RedBLoG 0.5 permite a un atacante remoto ejecutar código PHP de su elección a través de una URL en (1) el parámetro root en (2) admin/config.php, (3) common.php, y (4) admin/index.php. NOTA: el origen de esta información es desconocido; los detalles se han obtenido de información de terceros.

Vulnerabilidad PHP de inclusión remota de archivo en includes/global.php en Joshua Wilson pNews System 1.1.0 (también conocido como PowerNews) permite a un atacante remoto ejecutar código PHP de su elección a través de una URL en el parámetro nbs.

Vulnerabilidad de inyección SQL en kategori.asp en xweblog 2.1 y anteriores permite a un atacante remoto ejecutar comandos SQL de su elección a través del parámetro kategori.