2 results (0.002 seconds)

CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 1

mt-phpincgi.php in Hajime Fujimoto mt-phpincgi before 2015-05-15 does not properly restrict URLs, which allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via a crafted request, as exploited in the wild in May 2015. mt-phpincgi.php en Hajime Fujimoto mt-phpincgi anterior a 2015-05-15 no restringe correctamente las URLs, lo que permite a atacantes remotos realizar ataques de inyección de objetos PHP y ejecutar código PHP arbitrario a través de una solicitud manipulada, tal y como fue utilizado activamente en mayo del 2015. • http://jvn.jp/en/jp/JVN64459670/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2015-000067 http://www.h-fj.com/blog/archives/2015/05/15-112843.php • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0

Cross-site scripting (XSS) vulnerability in the MailForm plugin before 1.20 for Movable Type allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilida de ejecución de secuencias de comandos en sitios cruzados (XSS) en el complemento MailForm antes de v1.20 para Movable Type, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://jvn.jp/en/jp/JVN60887968/index.html http://jvndb.jvn.jp/en/contents/2011/JVNDB-2011-000108.html http://www.h-fj.com/blog/archives/2007/01/23-111038.php https://exchange.xforce.ibmcloud.com/vulnerabilities/72344 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •