Page 13 of 69 results (0.015 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

CMS Made Simple 1.1.3.1 does not check the permissions assigned to users in some situations, which allows remote authenticated users to perform some administrative actions, as demonstrated by (1) adding a user via a direct request to admin/adduser.php and (2) reading the admin log via an "admin/adminlog.php?page=1" request. CMS Made Simple 1.1.3.1 no comprueba los permisos asignados a los usuarios en algunas situaciones, lo cual permite a usuarios remotos autenticados llevar a cabo algunas acciones administrativas, como se ha demostrado (1) añadiendo un usuario mediante una petición directa a admin/adduser.php y (2) leyendo el archivo de registro de administración mediante una petición "admin/adminlog.php?page=1". • http://blog.cmsmadesimple.org/2007/10/07/announcing-cms-made-simple-1141 http://osvdb.org/45481 http://securityreason.com/securityalert/3223 http://www.securityfocus.com/archive/1/481984/100/0/threaded • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in CMS Made Simple 1.1.3.1 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors related to (1) the anchor tag and (2) listtags. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en CMS Made Simple 1.1.3.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de vectores no especificados relacionados con (1) la etiqueta anchor (ancla) y (2) etiquetas de lista (listtags). • http://blog.cmsmadesimple.org/2007/10/07/announcing-cms-made-simple-1141 http://osvdb.org/42471 http://osvdb.org/42472 http://securityreason.com/securityalert/3223 http://www.securityfocus.com/archive/1/481984/100/0/threaded • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

CMS Made Simple 1.1.3.1 allows remote attackers to obtain the full path via a direct request for unspecified files. CMS Made Simple 1.1.3.1 permite a atacantes remotos obtener la ruta completa mediante una petición directa de archivos no especificados. • http://osvdb.org/41033 http://securityreason.com/securityalert/3223 http://www.securityfocus.com/archive/1/481984/100/0/threaded • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 3

SQL injection vulnerability in stylesheet.php in CMS Made Simple 1.0.5 and earlier allows remote attackers to execute arbitrary SQL commands via the templateid parameter. Vulnerabilidad de inyección SQL en el stylesheet.php del CMS Made Simple 1.0.5 y versiones anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro templateid. • https://www.exploit-db.com/exploits/29941 http://blog.cmsmadesimple.org/2007/04/24/cms-made-simple-106-released http://osvdb.org/35744 http://secunia.com/advisories/25082 http://www.scanit.be/advisory-2007-05-02.html http://www.securityfocus.com/bid/23753 http://www.vupen.com/english/advisories/2007/1628 https://exchange.xforce.ibmcloud.com/vulnerabilities/34044 •

CVSS: 6.8EPSS: 3%CPEs: 1EXPL: 2

Cross-site scripting (XSS) vulnerability in the optional user comment module in CMS Made Simple 1.0.2 allows remote attackers to inject arbitrary web script or HTML via the user comment form. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo opcional de comentario de usuario en el CMS Made Simple 1.0.2 permite a un atacante remoto inyectar secuencias de comandos web o HTML a través del formulario de comentario del usuario. • http://securityreason.com/securityalert/2087 http://securitytracker.com/id?1017445 http://www.l0j1k.com/security/CMSMadeSimple_1.0.2_25Dec06.txt http://www.securityfocus.com/archive/1/455306/100/0/threaded http://www.securityfocus.com/bid/21756 •