CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-10393
https://notcve.org/view.php?id=CVE-2020-10393
The way URIs are handled in admin/header.php in Chadha PHPKB Standard Multi-Language 9 allows Reflected XSS (injecting arbitrary web script or HTML) in admin/add-field.php by adding a question mark (?) followed by the payload. La manera en que son manejados los URI en el archivo admin/header.php en Chadha PHPKB Standard Multi-Language versión 9, permite un ataque de tipo XSS Reflejado (inyectando script web o HTML arbitrario) en el archivo admin/add-field.php al agregar un signo de interrogación (?) seguido por la carga útil. • http://antoniocannito.it/?p=137#uxss https://antoniocannito.it/phpkb1#reflected-cross-site-scripting-in-every-admin-page-cve-block-going-from-cve-2020-10391-to-cve-2020-10456 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-10392
https://notcve.org/view.php?id=CVE-2020-10392
The way URIs are handled in admin/header.php in Chadha PHPKB Standard Multi-Language 9 allows Reflected XSS (injecting arbitrary web script or HTML) in admin/add-category.php by adding a question mark (?) followed by the payload. La manera en que son manejados los URI en el archivo admin/header.php en Chadha PHPKB Standard Multi-Language versión 9, permite un ataque de tipo XSS Reflejado (inyectando script web o HTML arbitrario) en el archivo admin/add-category.php al agregar un signo de interrogación (?) seguido por la carga útil. • http://antoniocannito.it/?p=137#uxss https://antoniocannito.it/phpkb1#reflected-cross-site-scripting-in-every-admin-page-cve-block-going-from-cve-2020-10391-to-cve-2020-10456 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-10391
https://notcve.org/view.php?id=CVE-2020-10391
The way URIs are handled in admin/header.php in Chadha PHPKB Standard Multi-Language 9 allows Reflected XSS (injecting arbitrary web script or HTML) in admin/add-article.php by adding a question mark (?) followed by the payload. La manera en que son manejados los URI en el archivo admin/header.php en Chadha PHPKB Standard Multi-Language versión 9, permite un ataque de tipo XSS Reflejado (inyectando script web o HTML arbitrario) en el archivo admin/add-article.php al agregar un signo de interrogación (?) seguido por la carga útil. • http://antoniocannito.it/?p=137#uxss https://antoniocannito.it/phpkb1#reflected-cross-site-scripting-in-every-admin-page-cve-block-going-from-cve-2020-10391-to-cve-2020-10456 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-10390
https://notcve.org/view.php?id=CVE-2020-10390
OS Command Injection in export.php (vulnerable function called from include/functions-article.php) in Chadha PHPKB Standard Multi-Language 9 allows remote attackers to achieve Code Execution by saving the code to be executed as the wkhtmltopdf path via admin/save-settings.php. Una inyección de comandos de Sistema Operativo en el archivo export.php (función vulnerable llamada desde el archivo include/functions-article.php) en Chadha PHPKB Standard Multi-Language versión 9, permite a atacantes remotos lograr una Ejecución de Código al guardar el código que será ejecutado como la ruta wkhtmltopdf por medio del archivo admin/save-settings.php. • http://antoniocannito.it/?p=137#rce3 https://antoniocannito.it/phpkb1#out-of-band-blind-authenticated-remote-code-execution-cve-2020-10390 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.2EPSS: 15%CPEs: 1EXPL: 4CVE-2020-10389 – PHPKB Multi-Language 9 Authenticated Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-10389
admin/save-settings.php in Chadha PHPKB Standard Multi-Language 9 allows remote attackers to achieve Code Execution by injecting PHP code into any POST parameter when saving global settings. El archivo admin/save-settings.php en Chadha PHPKB Standard Multi-Language versión 9, permite a atacantes remotos lograr una Ejecución de Código mediante la inyección de un código PHP en cualquier parámetro POST cuando se guarda la configuración global. PHPKB Multi-Language 9 suffers from an authenticated remote code execution vulnerability. • http://antoniocannito.it/?p=137#rce2 http://packetstormsecurity.com/files/156751/PHPKB-Multi-Language-9-Authenticated-Remote-Code-Execution.html https://antoniocannito.it/phpkb1#authenticated-remote-code-execution-cve-2020-10389 https://www.exploit-db.com/exploits/48219 • CWE-94: Improper Control of Generation of Code ('Code Injection') •