CVE-2022-36532
https://notcve.org/view.php?id=CVE-2022-36532
Bolt CMS contains a vulnerability in version 5.1.12 and below that allows an authenticated user with the ROLE_EDITOR privileges to upload and rename a malicious file to achieve remote code execution. Bolt CMS contiene una vulnerabilidad en versión 5.1.12 y anteriores, que permite a un usuario autenticado con privilegios ROLE_EDITOR descargar y renombrar un archivo malicioso para lograr una ejecución de código remota • https://github.com/lutrasecurity/CVE-2022-36532 http://bolt.com https://lutrasecurity.com/en/articles/cve-2022-36532 •
CVE-2021-40219
https://notcve.org/view.php?id=CVE-2021-40219
Bolt CMS <= 4.2 is vulnerable to Remote Code Execution. Unsafe theme rendering allows an authenticated attacker to edit theme to inject server-side template injection that leads to remote code execution. Bolt CMS versiones anteriores a 4.2 incluyéndola, es vulnerable a una ejecución de código remota. El renderizado no seguro del tema permite a un atacante autenticado editar el tema para inyectar la plantilla del lado del servidor que conlleva a una ejecución de código remota • http://boltcms.com https://github.com/bolt/core https://github.com/bolt/core/blob/3b21a73ebf519b76756d3ad2841312d10ef11461/src/Controller/Frontend/TemplateController.php https://github.com/iiSiLvEr/CVEs/tree/main/CVE-2021-40219 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2018-19933 – Bolt CMS < 3.6.2 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2018-19933
Bolt CMS <3.6.2 allows XSS via text input click preview button as demonstrated by the Title field of a Configured and New Entry. Bolt CMS, en versiones anteriores a la 3.6.2, permite Cross-Site Scripting (XSS) mediante el botón de previsualización de clicado en entradas de texto, tal y como queda demostrado con el campo Title de Configured y New Entry. Bolt CMS versions prior to 3.6.2 suffer from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/46014 https://github.com/rdincel1/Bolt-CMS-3.6.2---Cross-Site-Scripting https://www.raifberkaydincel.com/bolt-cms-xss-vulnerability.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-11128
https://notcve.org/view.php?id=CVE-2017-11128
Bolt CMS 3.2.14 allows stored XSS via text input, as demonstrated by the Title field of a New Entry. Bolt CMS versión 3.2.14, permite una vulnerabilidad de tipo XSS almacenado mediante una entrada de texto, como fue mostrado mediante el campo Title de una Entrada Nueva. • https://websecnerd.blogspot.in/2017/07/bolt-cms-3.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-11127
https://notcve.org/view.php?id=CVE-2017-11127
Bolt CMS 3.2.14 allows stored XSS by uploading an SVG document with a "Content-Type: image/svg+xml" header. Bolt CMS versión 3.2.14, permite una vulnerabilidad de tipo XSS almacenado mediante la carga de un documento SVG con un encabezado "Content-Type: image/svg+xml". • https://websecnerd.blogspot.in/2017/07/bolt-cms-3.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •