CVE-2021-39428
https://notcve.org/view.php?id=CVE-2021-39428
Cross Site Scripting (XSS) vulnerability in Users.php in eyoucms 1.5.4 allows remote attackers to run arbitrary code and gain escalated privilege via the filename for edit_users_head_pic. Vulnerabilidad de Cross Site Scripting (XSS) en Users.php en eyoucms 1.5.4 permite a atacantes remotos ejecutar código arbitrario y obtener privilegios escalados a través del nombre de archivo edit_users_head_pic. • https://github.com/eyoucms/eyoucms/issues/14 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-26273
https://notcve.org/view.php?id=CVE-2022-26273
EyouCMS v1.5.4 was discovered to lack parameter filtering in \user\controller\shop.php, leading to payment logic vulnerabilities. Se ha detectado que EyouCMS versión v1.5.4, carece de filtrado de parámetros en el archivo \user\controller\shop.php, conllevando a vulnerabilidades en la lógica de pago • https://github.com/wwwxxxw/issue •
CVE-2021-42194
https://notcve.org/view.php?id=CVE-2021-42194
The wechat_return function in /controller/Index.php of EyouCms V1.5.4-UTF8-SP3 passes the user's input directly into the simplexml_ load_ String function, which itself does not prohibit external entities, triggering a XML external entity (XXE) injection vulnerability. La función wechat_return en el archivo /controller/Index.php de EyouCms versión V1.5.4-UTF8-SP3, pasa la entrada del usuario directamente a la función simplexml_ load_ String, que por sí misma no prohíbe las entidades externas, desencadenando una vulnerabilidad de tipo XML external entity (XXE) • https://github.com/eyoucms/eyoucms/issues/19 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2021-39501
https://notcve.org/view.php?id=CVE-2021-39501
EyouCMS 1.5.4 is vulnerable to Open Redirect. An attacker can redirect a user to a malicious url via the Logout function. EyouCMS versión 1.5.4, es vulnerable a una Redirección Abierta. Un atacante puede redirigir a un usuario a una url maliciosa por medio de la función Logout • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/issues/17 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2021-39500
https://notcve.org/view.php?id=CVE-2021-39500
Eyoucms 1.5.4 is vulnerable to Directory Traversal. Due to a lack of input data sanitizaton in param tpldir, filename, type, nid an attacker can inject "../" to escape and write file to writeable directories. Eyoucms versión 1.5.4, es vulnerable aun Salto de Directorio. Debido a una falta de saneo de los datos de entrada en los parámetros tpldir, filename, type, nid un atacante puede inyectar "../" para escapar y escribir archivos en directorios escribibles • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/releases/tag/v1.5.4 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •