Phpgedview
Уязвимости
16
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.08306
Распределение по критичности
Критический
2
Высокий
5
Средний
9
Низкий
0
Затронутые диапазоны версий
≤ 2.65≤ 3.3.7≤ 4.1.4
Также сопоставлено как (исходные строки): phpgedview
Топ уязвимостей
CVE-2008-2064Множественные неуказанные уязвимости в PhpGedView до 4.1.5 имеют неизвестные последствия и векторы атак, связанные с "фундаментальным недостатком проектирования в интерфейсе (API) для подключения phpGedView к внешним программам, таким как системы управления контентом".
CVE-2004-0030Уязвимость удаленного включения PHP-файла в (1) functions.php, (2) authentication_index.php и (3) config_gedcom.php для PHPGEDVIEW 2.61 позволяет удаленным злоумышленникам выполнять произвольный PHP-код, изменяя параметр PGV_BASE_DIRECTORY для ссылки на URL-адрес на удаленном веб-сервере, который содержит код.
CVE-2005-4469Множественные уязвимости прямой статической инъекции кода в PHPGedView 3.3.7 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольный PHP-код через (1) поле имени пользователя в login.php или (2) параметры user_language, (3) user_email и (4) user_gedcomid в login_register.php, которые непосредственно вставляются в authenticate.php.
CVE-2004-0128Уязвимость удаленного включения файлов PHP в сценарии конфигурации GEDCOM для phpGedView 2.65.1 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольный код PHP, изменяя параметр PGV_BASE_DIRECTORY, чтобы он ссылался на URL-адрес на удаленном веб-сервере, содержащем вредоносный скрипт theme.php.
CVE-2004-0127Уязвимость обхода каталогов в editconfig_gedcom.php для phpGedView 2.65.1 и более ранних версий позволяет удаленным злоумышленникам читать произвольные файлы или выполнять произвольные PHP-программы на сервере через последовательности .. (две точки) в параметре gedcom_config.
CVE-2004-0065Множественные уязвимости SQL-инъекций в phpGedView до версии 2.65 позволяют удаленным злоумышленникам выполнять произвольные SQL-запросы через (1) timeline.php и (2) placelist.php.
CVE-2004-0031PHPGEDVIEW 2.61 позволяет удаленным злоумышленникам переустанавливать программное обеспечение и изменять пароль администратора через прямой HTTP-запрос к editconfig.php.
CVE-2011-0405Уязвимость обхода каталогов в module.php в PhpGedView 4.2.3 и, возможно, других версиях, когда magic_quotes_gpc отключена, позволяет удаленным злоумышленникам читать произвольные файлы через последовательности обхода каталогов в параметре pgvaction.
CVE-2004-0032Уязвимость межсайтового скриптинга (XSS) в search.php в PHPGEDVIEW 2.61 позволяет удаленным злоумышленникам внедрять произвольный HTML и веб-скрипт через параметр firstname.
CVE-2011-3778PhpGedView 4.2.3 позволяет удаленным злоумышленникам получить конфиденциальную информацию через прямой запрос к .php-файлу, который раскрывает путь установки в сообщении об ошибке, как продемонстрировано в serviceClientTest.php и некоторых других файлах.
CVE-2005-4467Уязвимость обхода каталога в help_text_vars.php в PHPGedView 3.3.7 и более ранних версиях позволяет удаленным злоумышленникам читать и включать произвольные файлы через .. (двойную точку) в параметре PGV_BASE_DIRECTORY.
CVE-2004-0130login.php в phpGedView 2.65 и более ранних версиях позволяет удаленным злоумышленникам получить конфиденциальную информацию через HTTP-запрос к login.php, который не содержит обязательных параметров username или password, что приводит к утечке информации в сообщении об ошибке.
CVE-2004-0066phpGedView до версии 2.65 позволяет удаленным злоумышленникам получить абсолютный путь веб-сервера через некорректные параметры для (1) indilist.php, (2) famlist.php, (3) placelist.php, (4) imageview.php, (5) timeline.php, (6) clippings.php, (7) login.php и (8) gdbi.php.
CVE-2004-0033admin.php в PHPGEDVIEW 2.61 позволяет удаленным злоумышленникам получать конфиденциальную информацию через параметр action с командой phpinfo.
CVE-2007-5051Множественные уязвимости межсайтового скриптинга (XSS) в PhpGedView 4.1.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) box_width, (2) PEDIGREE_GENERATIONS и (3) rootid в ancestry.php, а также параметр (4) newpid в timeline.php. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; подробности получены исключительно из сторонних источников.
CVE-2004-0067Множественные уязвимости межсайтового скриптинга (XSS) в phpGedView до версии 2.65 позволяют удаленным злоумышленникам внедрять произвольный HTML или веб-скрипт через (1) descendancy.php, (2) index.php, (3) individual.php, (4) login.php, (5) relationship.php, (6) source.php, (7) imageview.php, (8) calendar.php, (9) gedrecord.php, (10) login.php и (11) gdbi_interface.php. ПРИМЕЧАНИЕ: некоторые аспекты вектора 10, как сообщалось позже, влияют на 4.1.