CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-36497
https://notcve.org/view.php?id=CVE-2020-36497
DedeCMS v7.5 SP2 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities in the component makehtml_homepage.php via the `filename`, `mid`, `userid`, and `templet' parameters. Se ha detectado que DedeCMS versión v7.5 SP2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente makehtml_homepage.php por medio de los parámetros "filename", "mid", "userid" y "templet" • https://www.vulnerability-lab.com/get_content.php?id=2194 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-18114
https://notcve.org/view.php?id=CVE-2020-18114
An arbitrary file upload vulnerability in the /uploads/dede component of DedeCMS V5.7SP2 allows attackers to upload a webshell in HTM format. Una vulnerabilidad de carga de archivos arbitrarios en el componente /uploads/dede de DedeCMS versión V5.7SP2, permite a atacantes carfar un webshell en manerato HTM. • https://blog.csdn.net/qq_36093477/article/details/86681178 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-18917
https://notcve.org/view.php?id=CVE-2020-18917
The plus/search.php component in DedeCMS 5.7 SP2 allows remote attackers to execute arbitrary PHP code via the typename parameter because the contents of typename.inc are under an attacker's control. El componente plus/search.php de DedeCMS versión 5.7 SP2, permite a atacantes remotos ejecutar código PHP arbitrario por medio del parámetro typename porque el contenido del archivo typename.inc está bajo el control de un atacante. • http://tusk1.cn/2019/05/12/DeDecms-v5-7-sp2-CRSF-%E6%96%87%E4%BB%B6%E6%93%8D%E4%BD%9C-%E5%89%8D%E5%8F%B0getshell • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-22198
https://notcve.org/view.php?id=CVE-2020-22198
SQL Injection vulnerability in DedeCMS 5.7 via mdescription parameter to member/ajax_membergroup.php. Una vulnerabilidad de inyección SQL en DedeCMS versión 5.7 por medio de un parámetro mdescription en el archivo member/ajax_membergroup.php • http://www.hackdig.com/?02/hack-8391.htm https://github.com/blindkey/DedeCMSv5/issues/1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-16632
https://notcve.org/view.php?id=CVE-2020-16632
A XSS Vulnerability in /uploads/dede/action_search.php in DedeCMS V5.7 SP2 allows an authenticated user to execute remote arbitrary code via the keyword parameter. Una vulnerabilidad de tipo XSS en el archivo /uploads/dede/action_search.php en DedeCMS versión V5.7 SP2, permite a un usuario autenticado ejecutar código arbitrario remoto por medio del parámetro keyword • https://github.com/ky-j/dedecms/issues/12 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •