CVSS: 7.5EPSS: 1%CPEs: 2EXPL: 2CVE-2020-11579
https://notcve.org/view.php?id=CVE-2020-11579
An issue was discovered in Chadha PHPKB 9.0 Enterprise Edition. installer/test-connection.php (part of the installation process) allows a remote unauthenticated attacker to disclose local files on hosts running PHP before 7.2.16, or on hosts where the MySQL ALLOW LOCAL DATA INFILE option is enabled. Se detectó un problema en Chadha PHPKB versión 9.0 Enterprise Edition. El archivo installer/test-connection.php (parte del proceso de instalación) permite a un atacante remoto no autenticado revelar archivos locales en hosts que ejecutan PHP versiones anteriores a 7.2.16, o en hosts donde la opción MySQL ALLOW LOCAL DATA INFILE está habilitada • https://github.com/ShielderSec/CVE-2020-11579 https://shielder.it https://www.phpkb.com https://www.shielder.it/blog/mysql-and-cve-2020-11579-exploitation • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.0EPSS: 94%CPEs: 1EXPL: 4CVE-2020-24949 – PHPFusion 9.03.50 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-24949
Privilege escalation in PHP-Fusion 9.03.50 downloads/downloads.php allows an authenticated user (not admin) to send a crafted request to the server and perform remote command execution (RCE). Una escalada de privilegios en PHP-Fusion versión 9.03.50, el archivo downloads/downloads.php permite a un usuario autenticado (no administrador) enviar una petición diseñada hacia un servidor y llevar a cabo una ejecución de comandos remota (RCE) PHPFusion version 9.03.50 suffers from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/49911 https://github.com/r90tpass/CVE-2020-24949 http://packetstormsecurity.com/files/162852/PHPFusion-9.03.50-Remote-Code-Execution.html https://github.com/php-fusion/PHP-Fusion/issues/2312 •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23658
https://notcve.org/view.php?id=CVE-2020-23658
PHP-Fusion 9.03.60 is affected by Cross Site Scripting (XSS) via infusions/member_poll_panel/poll_admin.php. PHP-Fusion versión 9.03.60, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) por medio del archivo infusions/member_poll_panel/poll_admin.php • https://github.com/php-fusion/PHP-Fusion/issues/2325 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-7700 – Prototype Pollution
https://notcve.org/view.php?id=CVE-2020-7700
All versions of phpjs are vulnerable to Prototype Pollution via parse_str. Todas las versiones de phpjs, son vulnerables a una Contaminación de Prototipo por medio de la función parse_str. • https://snyk.io/vuln/SNYK-JS-PHPJS-598681 • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-17450
https://notcve.org/view.php?id=CVE-2020-17450
PHP-Fusion 9.03 allows XSS on the preview page. PHP-Fusion versión 9.03, permite un ataque de tipo XSS en la página de vista previa • https://sec-consult.com/en/blog/advisories/multiple-cross-site-scripting-xss-vulnerabilities-in-php-fusion-cms • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •