Multiple SQL injection vulnerabilities in TLM CMS 3.2 allow remote attackers to execute arbitrary SQL commands via (1) the id parameter to news.php in a lirenews action, (2) the idnews parameter to goodies.php in a lire action, (3) the id parameter to file.php in a voir action, (4) the ID parameter to affichage.php, (5) the id_sal parameter to mod_forum/afficher.php, or (6) the id_sujet parameter to mod_forum/messages.php. NOTE: it was later reported that goodies.php and affichage.php scripts are reachable through index.php, and 1.1 is also affected. NOTE: it was later reported that the goodies.php vector also affects 3.1.

Múltiples vulnerabilidades de inyección SQL en TLM CMS versión 3.2, permiten a atacantes remotos ejecutar comandos SQL arbitrarios por medio de (1) el parámetro id en el archivo news.php en una acción lirenews, (2) el parámetro idnews en el archivo goodies.php en una acción lire, (3) el parámetro id en el archivo file.php en una acción voir, (4) el parámetro ID en el archivo affichage.php, (5) el parámetro id_sal en el archivo mod_forum/afficher.php, o (6) el parámetro id_sujet en el archivo mod_forum/messages.php . NOTA: más tarde se reportó que los scripts goodies.php y affichage.php son accesibles por medio del archivo index.php, y la versión 1.1 también está afectada. NOTA: más tarde se reportó que el vector goodies.php también afecta la versión 3.1.