Vulnerability Details : CVE-2012-4601
Multiple SQL injection vulnerabilities in Nicola Asuni TCExam before 11.3.009 allow remote authenticated users with level 5 or greater permissions to execute arbitrary SQL commands via the (1) user_groups[] parameter to admin/code/tce_edit_test.php or (2) subject_id parameter to admin/code/tce_show_all_questions.php.
Vulnerability category: Sql Injection
Products affected by CVE-2012-4601
- cpe:2.3:a:tecnick:tcexam:*:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.007:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.006:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.015:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.006:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.032:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.030:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.025:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.022:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.014:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.012:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.004:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.002:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.029:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.027:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.020:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.018:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.011:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.009:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.004:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.002:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.012:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.010:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.003:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.001:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.009:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.000:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.029:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.028:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.027:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.026:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.010:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.008:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.007:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.006:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.025:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.024:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.023:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.022:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.008:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.007:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.006:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.005:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.008:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.007:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.006:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.005:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.005:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.004:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.003:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.002:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.001:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.005:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.004:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.003:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.002:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.001:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.020:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.018:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.017:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.016:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.001:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.000:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.031:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.030:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.016:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.014:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.013:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.000:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.016:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.015:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.014:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.000:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.012:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.011:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.010:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.000:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.031:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.023:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.021:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.015:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.013:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.011:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.005:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.2.003:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.028:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.026:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.021:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.019:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.017:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.012:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.010:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.003:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.1.001:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.013:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.011:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.009:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.004:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.0.002:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.008:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:10.1.013:*:*:*:*:*:*:*
- cpe:2.3:a:tecnick:tcexam:11.3.007:*:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2012-4601
0.18%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 55 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2012-4601
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
6.0
|
MEDIUM | AV:N/AC:M/Au:S/C:P/I:P/A:P |
6.8
|
6.4
|
NIST |
CWE ids for CVE-2012-4601
-
The product constructs all or part of an SQL command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended SQL command when it is sent to a downstream component. Without sufficient removal or quoting of SQL syntax in user-controllable inputs, the generated SQL query can cause those inputs to be interpreted as SQL instead of ordinary user data.Assigned by: nvd@nist.gov (Primary)
References for CVE-2012-4601
-
https://www.htbridge.com/advisory/HTB23111
Multiple vulnerabilities in TCExam - HTB23111 Security Advisory | ImmuniWebExploit
-
http://tcexam.git.sourceforge.net/git/gitweb.cgi?p=tcexam/tcexam;a=commit;h=3e1ed3c02122eae182f076daabe903b0c8837971
Page not found - SourceForge.netPatch
-
http://freecode.com/projects/tcexam/releases/347588
All releases of TCExam – Freecode
-
http://sourceforge.net/projects/tcexam/files/CHANGELOG.TXT/view
Page not found - SourceForge.netPatch
Jump to