CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32073
https://notcve.org/view.php?id=CVE-2021-32073
DedeCMS V5.7 SP2 contains a CSRF vulnerability that allows a remote attacker to send a malicious request to to the web manager allowing remote code execution. DedeCMS versión V5.7 SP2, contiene una vulnerabilidad de tipo CSRF que permite a un atacante remoto enviar una petición maliciosa al administrador web, permitiendo una ejecución de código remota • https://github.com/ky-j/dedecms/issues/12 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 3CVE-2020-27533 – DedeCMS v.5.8 - _keyword_ Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-27533
A Cross Site Scripting (XSS) issue was discovered in the search feature of DedeCMS v.5.8 that allows malicious users to inject code into web pages, and other users will be affected when viewing web pages. Se detectó un problema de tipo Cross Site Scripting (XSS) en la funcionalidad de búsqueda de DedeCMS versión v.5.8, que permite a usuarios maliciosos inyectar código en páginas web, y otros usuarios estarán afectados cuando se visualiza páginas web DedeCMS version 5.8 suffers from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/48974 http://packetstormsecurity.com/files/159772/DedeCMS-5.8-Cross-Site-Scripting.html https://github.com/dedetech/issues/issues/16 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 89%CPEs: 3EXPL: 2CVE-2015-4553 – DeDeCMS < 5.7-sp1 - Remote File Inclusion
https://notcve.org/view.php?id=CVE-2015-4553
A file upload issue exists in DeDeCMS before 5.7-sp1, which allows malicious users getshell. Existe un problema de carga de archivos en DeDeCMS versiones anteriores a 5.7-sp1, lo que permite getshell a usuarios maliciosos. • https://www.exploit-db.com/exploits/37423 http://seclists.org/fulldisclosure/2015/Jun/47 http://www.securityfocus.com/bid/75285 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-10014
https://notcve.org/view.php?id=CVE-2019-10014
In DedeCMS 5.7SP2, member/resetpassword.php allows remote authenticated users to reset the passwords of arbitrary users via a modified id parameter, because the key parameter is not properly validated. En DedeCMS 5.7SP2, member/resetpassword.php permite que usuarios autenticados remotos restablezcan las contraseñas de usuarios arbitrarios mediante un parámetro id modificado. Esto se debe a que el parámetro key no se valida correctamente. • https://blog.csdn.net/yalecaltech/article/details/88594388 • CWE-863: Incorrect Authorization •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-8933
https://notcve.org/view.php?id=CVE-2019-8933
In DedeCMS 5.7SP2, attackers can upload a .php file to the uploads/ directory (without being blocked by the Web Application Firewall), and then execute this file, via this sequence of steps: visiting the management page, clicking on the template, clicking on Default Template Management, clicking on New Template, and modifying the filename from ../index.html to ../index.php. En DedeCMS 5.7SP2, los atacantes pueden subir un archivo .php al directorio "uploads/" (sin que se encuentren bloqueados por el firewall de aplicación web) y posteriormente ejecutar dicho archivo siguiendo los próximos pasos: visitar la página de gestión, hacer clic en la plantilla, hacer clic en "Gestión de plantilla por defecto", hacer clic en "Nueva plantilla" y modificar el nombre de archivo de "../index.html" a ".. • https://blog.csdn.net/qq_36093477/article/details/86681178 • CWE-434: Unrestricted Upload of File with Dangerous Type •