CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39428
https://notcve.org/view.php?id=CVE-2021-39428
Cross Site Scripting (XSS) vulnerability in Users.php in eyoucms 1.5.4 allows remote attackers to run arbitrary code and gain escalated privilege via the filename for edit_users_head_pic. Vulnerabilidad de Cross Site Scripting (XSS) en Users.php en eyoucms 1.5.4 permite a atacantes remotos ejecutar código arbitrario y obtener privilegios escalados a través del nombre de archivo edit_users_head_pic. • https://github.com/eyoucms/eyoucms/issues/14 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-26273
https://notcve.org/view.php?id=CVE-2022-26273
EyouCMS v1.5.4 was discovered to lack parameter filtering in \user\controller\shop.php, leading to payment logic vulnerabilities. Se ha detectado que EyouCMS versión v1.5.4, carece de filtrado de parámetros en el archivo \user\controller\shop.php, conllevando a vulnerabilidades en la lógica de pago • https://github.com/wwwxxxw/issue •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2021-42194
https://notcve.org/view.php?id=CVE-2021-42194
The wechat_return function in /controller/Index.php of EyouCms V1.5.4-UTF8-SP3 passes the user's input directly into the simplexml_ load_ String function, which itself does not prohibit external entities, triggering a XML external entity (XXE) injection vulnerability. La función wechat_return en el archivo /controller/Index.php de EyouCms versión V1.5.4-UTF8-SP3, pasa la entrada del usuario directamente a la función simplexml_ load_ String, que por sí misma no prohíbe las entidades externas, desencadenando una vulnerabilidad de tipo XML external entity (XXE) • https://github.com/eyoucms/eyoucms/issues/19 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-24000
https://notcve.org/view.php?id=CVE-2020-24000
SQL Injection vulnerability in eyoucms cms v1.4.7, allows attackers to execute arbitrary code and disclose sensitive information, via the tid parameter to index.php. Una vulnerabilidad de inyección SQL en eyoucms cms versión v1.4.7, permite a atacantes ejecutar código arbitrario y revelar información confidencial, por medio del parámetro tid del archivo index.php • https://github.com/eyoucms/eyoucms/issues/13 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39501
https://notcve.org/view.php?id=CVE-2021-39501
EyouCMS 1.5.4 is vulnerable to Open Redirect. An attacker can redirect a user to a malicious url via the Logout function. EyouCMS versión 1.5.4, es vulnerable a una Redirección Abierta. Un atacante puede redirigir a un usuario a una url maliciosa por medio de la función Logout • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/issues/17 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •