CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23185
https://notcve.org/view.php?id=CVE-2020-23185
02 Jul 2021 — A stored cross site scripting (XSS) vulnerability in /administration/setting_security.php of PHP-Fusion 9.03.60 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en el archivo /administration/setting_security.php de PHP-Fusion versión 9.03.60, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada • https://github.com/phpfusion/PHPFusion/issues/2331 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23184
https://notcve.org/view.php?id=CVE-2020-23184
02 Jul 2021 — A stored cross site scripting (XSS) vulnerability in /administration/settings_registration.php of PHP-Fusion 9.03.60 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Registration" field. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en el archivo /administration/settings_registration.php de PHP-Fusion versión 9.03.60, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada i... • https://github.com/phpfusion/PHPFusion/issues/2323 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23182
https://notcve.org/view.php?id=CVE-2020-23182
02 Jul 2021 — The component /php-fusion/infusions/shoutbox_panel/shoutbox_archive.php in PHP-Fusion 9.03.60 allows attackers to redirect victim users to malicious websites via a crafted payload entered into the Shoutbox message panel. El archivo /php-fusion/infusions/shoutbox_panel/shoutbox_archive.php de PHP-Fusion versión 9.03.60, permite a atacantes redirigir a los usuarios víctimas a sitios web maliciosos por medio de una carga útil diseñada introducida en el panel de mensajes de Shoutbox • https://github.com/phpfusion/PHPFusion/issues/2329 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23181
https://notcve.org/view.php?id=CVE-2020-23181
02 Jul 2021 — A reflected cross site scripting (XSS) vulnerability in /administration/theme.php of PHP-Fusion 9.03.60 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Manage Theme" field. Una vulnerabilidad de tipo cross site scripting (XSS) reflejada en el archivo /administration/theme.php de PHP-Fusion versión 9.03.60, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Manage... • https://github.com/phpfusion/PHPFusion/issues/2326 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23179
https://notcve.org/view.php?id=CVE-2020-23179
02 Jul 2021 — A stored cross site scripting (XSS) vulnerability in administration/settings_main.php of PHP-Fusion 9.03.50 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the "Site footer" field. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en el archivo administration/settings_main.php de PHP-Fusion versión 9.03.50, permite a atacantes autenticados ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el ca... • https://github.com/PHPFusion/PHPFusion/issues/2320 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23178
https://notcve.org/view.php?id=CVE-2020-23178
02 Jul 2021 — An issue exists in PHP-Fusion 9.03.50 where session cookies are not deleted once a user logs out, allowing for an attacker to perform a session replay attack and impersonate the victim user. Se presenta un problema en PHP-Fusion versión 9.03.50, donde las cookies de sesión no son eliminadas una vez que el usuario cierra la sesión, permitiendo a un atacante llevar a cabo un ataque de repetición de sesión y hacerse pasar por el usuario víctima • https://github.com/PHPFusion/PHPFusion/issues/2314 • CWE-294: Authentication Bypass by Capture-replay •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-28280
https://notcve.org/view.php?id=CVE-2021-28280
29 Apr 2021 — CSRF + Cross-site scripting (XSS) vulnerability in search.php in PHPFusion 9.03.110 allows remote attackers to inject arbitrary web script or HTML CSRF + Una vulnerabilidad de Cross-site scripting (XSS) en el archivo search.php en PHPFusion versión 9.03.110, permite a atacantes remotos inyectar script web o HTML arbitrario • https://anotepad.com/notes/2skndayt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-35687 – PHP-Fusion CMS 9.03.90 - Cross-Site Request Forgery (Delete admin shoutbox message)
https://notcve.org/view.php?id=CVE-2020-35687
13 Jan 2021 — PHPFusion version 9.03.90 is vulnerable to CSRF attack which leads to deletion of all shoutbox messages by the attacker on behalf of the logged in victim. PHPFusion versión 9.03.90, es vulnerable a un ataque CSRF que conlleva a la eliminación de todos los mensajes de shoutbox por parte del atacante en nombre de la víctima que inició sesión. • https://www.exploit-db.com/exploits/49426 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35952
https://notcve.org/view.php?id=CVE-2020-35952
03 Jan 2021 — login.php in PHPFusion (aka PHP-Fusion) Andromeda 9.x before 2020-12-30 generates error messages that distinguish between incorrect username and incorrect password (i.e., not a single "Incorrect username or password" message in both cases), which might allow enumeration. El archivo login.php en PHPFusion (también se conoce como PHP-Fusion) Andromeda versión 9.x antes del 30-12-2020 genera mensajes de error que distinguen entre un nombre de usuario incorrecto y una contraseña incorrecta (es decir, ni un solo... • https://github.com/PHPFusion/PHPFusion/issues/2346 •
CVSS: 9.0EPSS: 88%CPEs: 1EXPL: 5CVE-2020-24949 – PHPFusion 9.03.50 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-24949
03 Sep 2020 — Privilege escalation in PHP-Fusion 9.03.50 downloads/downloads.php allows an authenticated user (not admin) to send a crafted request to the server and perform remote command execution (RCE). Una escalada de privilegios en PHP-Fusion versión 9.03.50, el archivo downloads/downloads.php permite a un usuario autenticado (no administrador) enviar una petición diseñada hacia un servidor y llevar a cabo una ejecución de comandos remota (RCE) PHPFusion version 9.03.50 suffers from a remote code execution vulnerabi... • https://packetstorm.news/files/id/162852 •