CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23595
https://notcve.org/view.php?id=CVE-2020-23595
Cross Site Request Forgery (CSRF) vulnerability in yzmcms version 5.6, allows remote attackers to escalate privileges and gain sensitive information sitemodel/add.html endpoint. • https://github.com/yzmcms/yzmcms/issues/47 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23369
https://notcve.org/view.php?id=CVE-2020-23369
In YzmCMS 5.6, XSS was discovered in member/member_content/init.html via the SRC attribute of an IFRAME element because of using UEditor 1.4.3.3. En YzmCMS versión 5.6, una vulnerabilidad de tipo XSS fue detectado en el archivo member/member_content/init.html por medio del atributo SRC de un elemento IFRAME debido al uso de UEditor versión 1.4.3.3 • https://github.com/yzmcms/yzmcms/issues/46 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23370
https://notcve.org/view.php?id=CVE-2020-23370
In YzmCMS 5.6, stored XSS exists via the common/static/plugin/ueditor/1.4.3.3/php/controller.php action parameter, which allows remote attackers to upload a swf file. The swf file can be injected with arbitrary web script or HTML. En YzmCMS versión 5.6, una vulnerabilidad de tipo XSS almacenado se presenta por medio del parámetro action en el archivo common/static/plugin/ueditor/1.4.3.3/php/controller.php, que permite a atacantes remotos cargar un archivo swf. El archivo swf puede ser inyectado con un script web o HTML arbitrario • https://github.com/yzmcms/yzmcms/issues/45 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •