CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2023-22953
https://notcve.org/view.php?id=CVE-2023-22953
09 Feb 2023 — In ExpressionEngine before 7.2.6, remote code execution can be achieved by an authenticated Control Panel user. • https://docs.expressionengine.com/latest/installation/changelog.html •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-33199
https://notcve.org/view.php?id=CVE-2021-33199
12 Aug 2021 — In Expression Engine before 6.0.3, addonIcon in Addons/file/mod.file.php relies on the untrusted input value of input->get('file') instead of the fixed file names of icon.png and icon.svg. En Expression Engine versiones anteriores a 6.0.3, la función addonIcon en el archivo Addons/file/mod.file.php es basada en el valor de entrada no confiable de input-)get("file") en lugar de los nombres de archivo fijos de icon.png e icon.svg • https://github.com/ExpressionEngine/ExpressionEngine/compare/6.0.1...6.0.3#diff-17bcb23e5666fc2dccb79c7133e9eeb701847f67ae84fbde0a673c3fd3d109e0R508 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 4%CPEs: 2EXPL: 3CVE-2021-27230 – ExpressionEngine 6.0.2 PHP Code Injection
https://notcve.org/view.php?id=CVE-2021-27230
15 Mar 2021 — ExpressionEngine before 5.4.2 and 6.x before 6.0.3 allows PHP Code Injection by certain authenticated users who can leverage Translate::save() to write to an _lang.php file under the system/user/language directory. ExpressionEngine versiones anteriores a 5.4.2 y versiones 6.x anteriores a 6.0.3, permite una inyección de código PHP por parte de determinados usuarios autenticados que pueden aprovechar a la función Translate::save() para escribir en un archivo _lang.php en el directorio system/user/language Ex... • https://packetstorm.news/files/id/161805 • CWE-94: Improper Control of Generation of Code ('Code Injection') •