Page 2 of 35 results (0.007 seconds)

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

MODX Revolution v2.6.5-pl allows stored XSS via a Create New Media Source action. MODX Revolution v2.6.5-pl permite Cross-Site Scripting (XSS) persistente mediante una acción Create New Media Source. • https://github.com/modxcms/revolution/issues/14094 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.2EPSS: 62%CPEs: 1EXPL: 2

MODX Revolution version <=2.6.4 contains a Incorrect Access Control vulnerability in Filtering user parameters before passing them into phpthumb class that can result in Creating file with custom a filename and content. This attack appear to be exploitable via Web request. This vulnerability appears to have been fixed in commit 06bc94257408f6a575de20ddb955aca505ef6e68. MODX Revolution en versiones iguales o anteriores a la 2.6.4 contiene una vulnerabilidad de control de acceso incorrecto en el filtrado de parámetros user antes de pasarlos a la clase phpthumb, lo que puede resultar en la creación de un archivo con un nombre de archivo y un contenido personalizados. Parece ser que este ataque puede ser explotado mediante una petición web. • https://github.com/a2u/CVE-2018-1000207 https://github.com/modxcms/revolution/commit/06bc94257408f6a575de20ddb955aca505ef6e68 https://github.com/modxcms/revolution/pull/13979 https://rudnkh.me/posts/critical-vulnerability-in-modx-revolution-2-6-4 • CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

MODX Revolution version <=2.6.4 contains a Directory Traversal vulnerability in /core/model/modx/modmanagerrequest.class.php that can result in remove files. This attack appear to be exploitable via web request via security/login processor. This vulnerability appears to have been fixed in pull 13980. MODX Revolution en versiones iguales o anteriores a la 2.6.4 contiene una vulnerabilidad de salto de directorio en /core/model/modx/modmanagerrequest.class.php que puede resultar en la eliminación de archivos. Este ataque parece ser explotable mediante una petición web mediante el procesador security/login. • https://github.com/modxcms/revolution/pull/13980 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

MODX Revolution 2.6.3 has XSS. MODX Revolution 2.6.3 tiene Cross-Site Scripting (XSS). • https://github.com/modxcms/revolution/pull/13887 https://github.com/modxcms/revolution/pull/13887/commits/3241473d8213e9551cef4ed0e8ac4645cfbd10c4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

A stored web content injection vulnerability (WCI, a.k.a XSS) is present in MODX Revolution CMS version 2.5.6 and earlier. An authenticated user with permissions to edit users can save malicious JavaScript as a User Group name and potentially take control over victims' accounts. This can lead to an escalation of privileges providing complete administrative control over the CMS. Una vulnerabilidad de inyección de contenidos web (WCI) almacenada, también conocida como Cross-Site Scripting (XSS), está presente en MODX Revolution CMS en versiones 2.5.6 y anteriores. Un usuario autenticado con permisos para editar usuarios puede guardar código JavaScript malicioso como un nombre de grupo de usuarios y podría tomar el control de las cuentas de las víctimas. • https://raw.githubusercontent.com/modxcms/revolution/v2.5.7-pl/core/docs/changelog.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •