CVSS: 9.8EPSS: 16%CPEs: 1EXPL: 3CVE-2021-26600 – ImpressCMS 1.4.2 Authentication Bypass
https://notcve.org/view.php?id=CVE-2021-26600
ImpressCMS before 1.4.3 has plugins/preloads/autologin.php type confusion with resultant Authentication Bypass (!= instead of !==). ImpressCMS versiones anteriores a 1.4.3, presenta una confusión de tipo en el archivo plugins/preloads/autologin.php con la consiguiente Omisión de Autenticación (!= en lugar de ! • http://karmainsecurity.com/KIS-2022-01 http://packetstormsecurity.com/files/166393/ImpressCMS-1.4.2-Authentication-Bypass.html http://seclists.org/fulldisclosure/2022/Mar/43 https://hackerone.com/reports/1081986 • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-28088
https://notcve.org/view.php?id=CVE-2021-28088
Cross-site scripting (XSS) in modules/content/admin/content.php in ImpressCMS profile 1.4.2 allows remote attackers to inject arbitrary web script or HTML parameters through the "Display Name" field. Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo modules/content/admin/content.php en el perfil de ImpressCMS versión 1.4.2, permite a atacantes remotos inyectar un script web o parámetros HTML arbitrarios por medio del campo "Display Name" • https://anotepad.com/note/read/s3kkk6h7 https://hackerone.com/reports/1119296 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •