CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2011-5200 – Dede CMS - SQL Injection
https://notcve.org/view.php?id=CVE-2011-5200
Multiple SQL injection vulnerabilities in DeDeCMS, possibly 5.6, allow remote attackers to execute arbitrary SQL commands via the id parameter to (1) list.php, (2) members.php, or (3) book.php. Múltiples vulnerabilidades de inyección SQL en DeDeCMS posiblemente, v5.6, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro id a (1) list.php, (2) book.php o (3) members.php. • https://www.exploit-db.com/exploits/18292 http://www.exploit-db.com/exploits/18292 http://www.osvdb.org/82506 http://www.osvdb.org/82507 http://www.osvdb.org/82508 http://www.securityfocus.com/bid/51211 https://exchange.xforce.ibmcloud.com/vulnerabilities/72034 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2010-1097
https://notcve.org/view.php?id=CVE-2010-1097
include/userlogin.class.php in DeDeCMS 5.5 GBK, when session.auto_start is enabled, allows remote attackers to bypass authentication and gain administrative access via a value of 1 for the _SESSION[dede_admin_id] parameter, as demonstrated by a request to uploads/include/dialog/select_soft_post.php. include/userlogin.class.php en DeDeCMS v5.5 GBK, cuando session.auto_start está activado, permite a atacantes remotos evitar la autenticación y obtener acceso como administrador mediante un valor de 1 para el parámetro _SESSION[dede_admin_id], como se ha demostrado con una petición a uploads/include/dialog/select_soft_post.php. • http://bbs.wolvez.org/topic/125 http://osvdb.org/62622 http://secunia.com/advisories/38790 http://www.securityfocus.com/bid/38469 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2009-3806 – DeDeCMS 5.1 - SQL Injection
https://notcve.org/view.php?id=CVE-2009-3806
SQL injection vulnerability in feedback_js.php in DedeCMS 5.1 allows remote attackers to execute arbitrary SQL commands via the arcurl parameter. Vulnerabilidad de inyección SQL en feedback_js.php en DedeCMS v5.1 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro arcurl. • https://www.exploit-db.com/exploits/9876 http://www.securityfocus.com/archive/1/507109/100/0/threaded • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2009-2270
https://notcve.org/view.php?id=CVE-2009-2270
Unrestricted file upload vulnerability in member/uploads_edit.php in dedecms 5.3 allows remote attackers to execute arbitrary code by uploading a file with a double extension in the filename, then accessing this file via unspecified vectors, as demonstrated by a .jpg.php filename. Vulnerabilidad de subida de archivos sin restricción en member/uploads_edit.php en dedecms v5.3, permite a atacantes remotos ejecutar código de su elección subiendo un archivo con una doble extensión en su nombre, después accediendo al mismo a través de vectores no especificados, como se ha demostrado con el nombre de archivo .jpg.php. • http://www.securityfocus.com/archive/1/504653/100/0/threaded • CWE-94: Improper Control of Generation of Code ('Code Injection') •