CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2018-7197
https://notcve.org/view.php?id=CVE-2018-7197
An issue was discovered in Pluck through 4.7.4. A stored cross-site scripting (XSS) vulnerability allows remote unauthenticated users to inject arbitrary web script or HTML into admin/blog Reaction Comments via a crafted URL. Se ha descubierto un problema hasta la versión 4.7.4 de Pluck. Una vulnerabilidad de Cross-Site Scripting (XSS) persistente permite que usuarios remotos no autenticados inyecten scripts web o HTML arbitrarios en comentarios de reacción en admin/blog mediante una URL manipulada. • https://github.com/Alyssa-o-Herrera/CVE-2018-7197 https://github.com/pluck-cms/pluck/issues/47 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2012-1227
https://notcve.org/view.php?id=CVE-2012-1227
Multiple cross-site request forgery (CSRF) vulnerabilities in admin.php in pluck 4.7 allow remote attackers to hijack the authentication of admins for requests that (1) modify the admin email address or (2) modify the blog title via a settings action; (3) add a page via an editpage action, or (4) add a categorie via the blog module. Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en admin.php en pluck v4.7, permite a atacantes remotos secuestrar la autenticación de los administradores para las peticiones que (1) modifican la dirección de correo electrónico de administración o (2) modifican el título del blog a través de una acción de configuración, (3) agregan una página a través de una acción editpage, o (4) añaden una categoría a través del módulo del blog. • http://osvdb.org/79005 http://secunia.com/advisories/47934 http://www.exploit-db.com/exploits/18474 • CWE-352: Cross-Site Request Forgery (CSRF) •