CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-27984
https://notcve.org/view.php?id=CVE-2021-27984
In Pluck-4.7.15 admin background a remote command execution vulnerability exists when uploading files. En Pluck versión 4.7.15 admin background, se presenta una vulnerabilidad de ejecución de comandos remota cuando son subidos archivos • https://github.com/pluck-cms/pluck/issues/98 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31747
https://notcve.org/view.php?id=CVE-2021-31747
Missing SSL Certificate Validation issue exists in Pluck 4.7.15 in update_applet.php, which could lead to man-in-the-middle attacks. Se presenta un problema de comprobación de certificados SSL en Pluck versión 4.7.15, en el archivo update_applet.php, que podría conllevar a ataques de tipo man-in-the-middle • https://github.com/pluck-cms/pluck/issues/101 • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31746
https://notcve.org/view.php?id=CVE-2021-31746
Zip Slip vulnerability in Pluck-CMS Pluck 4.7.15 allows an attacker to upload specially crafted zip files, resulting in directory traversal and potentially arbitrary code execution. Una vulnerabilidad de Zip Slip en Pluck-CMS Pluck versión 4.7.15, permite a un atacante cargar archivos zip especialmente diseñados, resultando en un salto de directorio y una ejecución potencial de código arbitrario • https://github.com/pluck-cms/pluck/issues/100 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31745
https://notcve.org/view.php?id=CVE-2021-31745
Session Fixation vulnerability in login.php in Pluck-CMS Pluck 4.7.15 allows an attacker to sustain unauthorized access to the platform. Because Pluck does not invalidate prior sessions after a password change, access can be sustained even after an administrator performs regular remediation attempts such as resetting their password. Una vulnerabilidad de Fijación de Sesión en el archivo login.php en Pluck-CMS Pluck versión 4.7.15, permite a un atacante mantener el acceso no autorizado a la plataforma. Debido a que Pluck no invalida las sesiones anteriores después de un cambio de contraseña, el acceso puede mantenerse incluso después de que un administrador lleve a cabo intentos regulares de reparación, como el restablecimiento de su contraseña • https://github.com/pluck-cms/pluck/issues/99 • CWE-384: Session Fixation •