4 results (0.003 seconds)

CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1

In b2evolution 7.2.5, if configured with admins_can_manipulate_sensitive_files, arbitrary file upload is allowed for admins, leading to command execution. NOTE: the vendor's position is that this is "very obviously a feature not an issue and if you don't like that feature it is very obvious how to disable it." En b2evolution 7.2.5, si se configura con admins_can_manipulate_sensitive_files, los administradores pueden cargar archivos arbitrarios, lo que lleva a ejecución de comandos. NOTA: la posición del proveedor es que esto es "obviamente es una característica, no un problema y si no te gusta esa característica, es muy obvio cómo desactivarla". • https://github.com/b2evolution/b2evolution/issues/121 • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1

b2evolution CMS v7.2.3 was discovered to contain a SQL injection vulnerability via the parameter cfqueryparam in the User login section. This vulnerability allows attackers to execute arbitrary code via a crafted input. Se ha detectado que b2evolution CMS versión v7.2.3, contiene una vulnerabilidad de inyección SQL por medio del parámetro cfqueryparam en la sección de inicio de sesión del usuario. Esta vulnerabilidad permite a atacantes ejecutar código arbitrario por medio de una entrada diseñada • https://gist.github.com/Stacksmashers101/c6b9ea92f42c23473170bb3acc8fc5fe • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

b2evolution CMS v7.2.3 was discovered to contain a Cross-Site Request Forgery (CSRF) via the User login page. This vulnerability allows attackers to escalate privileges. Se ha detectado que b2evolution CMS versión v7.2.3, contiene una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de la página de inicio de sesión de usuario. Esta vulnerabilidad permite a atacantes escalar privilegios • https://gist.github.com/stacksmasher007/76514ab2b782fb4383f1121e6fc19241 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 3

Reflected cross-site scripting vulnerability (XSS) in the evoadm.php file in b2evolution cms version 6.11.6-stable allows remote attackers to inject arbitrary webscript or HTML code via the tab3 parameter. Una vulnerabilidad de cross-site scripting (XSS) reflejada en el archivo evoadm.php en b2evolution cms versión 6.11.6-stable, permite a atacantes remotos inyectar código web o HTML arbitrario por medio del parámetro tab3 b2evolution CMS version 6.11.6 suffers from multiple cross site scripting vulnerabilities. • http://packetstormsecurity.com/files/161363/b2evolution-CMS-6.11.6-Cross-Site-Scripting.html https://sohambakore.medium.com/b2evolution-cms-reflected-xss-in-tab-type-parameter-in-evoadm-php-38886216cdd3 https://www.exploit-db.com/exploits/49555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •