CVSS: 5.4EPSS: 0%CPEs: 90EXPL: 1CVE-2021-45787
https://notcve.org/view.php?id=CVE-2021-45787
16 Mar 2022 — There is a stored Cross Site Scripting (XSS) vulnerability in maccms v10 through adding videos. XSS code can be inserted at parameter positions including name and remarks. Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenada en maccms versión v10, por medio de la adición de vídeos. El código de tipo XSS puede ser insertado en las posiciones de los parámetros, incluyendo el nombre y los comentarios • https://github.com/magicblack/maccms10/issues/746 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-45786
https://notcve.org/view.php?id=CVE-2021-45786
16 Mar 2022 — In maccms v10, an attacker can log in through /index.php/user/login in the "col" and "openid" parameters to gain privileges. En maccms versión v10, un atacante puede entrar mediante /index.php/user/login en los parámetros "col" y "openid" para conseguir privilegios • https://github.com/magicblack/maccms10/issues/747 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21434
https://notcve.org/view.php?id=CVE-2020-21434
04 Oct 2021 — Maccms 10 contains a cross-site scripting (XSS) vulnerability in the Editing function under the Member module. This vulnerability is exploited via a crafted payload in the nickname text field. Maccms versión 10, contiene una vulnerabilidad de tipo cross-site scripting (XSS) en la función Editing bajo el módulo Member. Esta vulnerabilidad se explota por medio de una carga útil diseñada en el campo nickname text • https://github.com/Ksharp12138/maccms_userinfo_xss/blob/master/maccms_xss.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21387
https://notcve.org/view.php?id=CVE-2020-21387
04 Oct 2021 — A cross-site scripting (XSS) vulnerability in the parameter type_en of Maccms 10 allows attackers to obtain the administrator cookie and escalate privileges via a crafted payload. Una vulnerabilidad de tipo cross-site scripting (XSS) en el parámetro type_en de Maccms versión 10, permite a atacantes obtener la cookie del administrador y escalar privilegios por medio de una carga útil diseñada • https://github.com/magicblack/maccms10/issues/126 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21386
https://notcve.org/view.php?id=CVE-2020-21386
04 Oct 2021 — A Cross-Site Request Forgery (CSRF) in the component admin.php/admin/type/info.html of Maccms 10 allows attackers to gain administrator privileges. Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el componente admin.php/admin/type/info.html de Maccms versión 10, permite a atacantes alcanzar privilegios de administrador • https://github.com/magicblack/maccms10/issues/126 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20514
https://notcve.org/view.php?id=CVE-2020-20514
24 Sep 2021 — A Cross-Site Request Forgery (CSRF) in Maccms v10 via admin.php/admin/admin/del/ids/<id>.html allows authenticated attackers to delete all users. Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en Maccms versión v10, por medio de el archivo admin.php/admin/admin/del/ids/(id).html permite a atacantes autenticados eliminar a todos los usuarios. • https://github.com/magicblack/maccms10/issues/76 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21363
https://notcve.org/view.php?id=CVE-2020-21363
11 Aug 2021 — An arbitrary file deletion vulnerability exists within Maccms10. Se presenta una vulnerabilidad de eliminación de archivos arbitraria en Maccms10 • https://github.com/magicblack/maccms10/issues/79 • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-21362
https://notcve.org/view.php?id=CVE-2020-21362
11 Aug 2021 — A cross site scripting (XSS) vulnerability in the background search function of Maccms10 allows attackers to execute arbitrary web scripts or HTML via the 'wd' parameter. Una vulnerabilidad de tipo cross site scripting (XSS) en la función background search de Maccms10, permite a atacantes ejecutar scripts web o HTML arbitrario por medio del parámetro "wd" • https://github.com/magicblack/maccms10/issues/78 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2020-21359
https://notcve.org/view.php?id=CVE-2020-21359
11 Aug 2021 — An arbitrary file upload vulnerability in the Template Upload function of Maccms10 allows attackers bypass the suffix whitelist verification to execute arbitrary code via adding a character to the end of the uploaded file's name. Una vulnerabilidad de carga de archivos arbitrarios en la función Template Upload de Maccms10, permite a atacantes omitir la comprobación de la lista blanca de sufijos para ejecutar código arbitrario por medio de la adición de un carácter al final del nombre del archivo cargado • https://github.com/magicblack/maccms10/issues/80 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-9829
https://notcve.org/view.php?id=CVE-2019-9829
15 Mar 2019 — Maccms 10 allows remote attackers to execute arbitrary PHP code by entering this code in a template/default_pc/html/art Edit action. This occurs because template rendering uses an include operation on a cache file, which bypasses the prohibition of .php files as templates. Maccms 10 permite que los atacantes remotos ejecuten código PHP arbitrario introduciendo este código en una acción "Edit" en template/default_pc/html/art. Esto ocurre debido a que la renderización de plantillas emplea una operación "inclu... • https://github.com/guobaoyou/vul_environment/blob/master/maccms10_getshell/maccms10_getshell_en.md • CWE-829: Inclusion of Functionality from Untrusted Control Sphere •