CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-10382
https://notcve.org/view.php?id=CVE-2018-10382
MODX Revolution 2.6.3 has XSS. MODX Revolution 2.6.3 tiene Cross-Site Scripting (XSS). • https://github.com/modxcms/revolution/pull/13887 https://github.com/modxcms/revolution/pull/13887/commits/3241473d8213e9551cef4ed0e8ac4645cfbd10c4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000223
https://notcve.org/view.php?id=CVE-2017-1000223
A stored web content injection vulnerability (WCI, a.k.a XSS) is present in MODX Revolution CMS version 2.5.6 and earlier. An authenticated user with permissions to edit users can save malicious JavaScript as a User Group name and potentially take control over victims' accounts. This can lead to an escalation of privileges providing complete administrative control over the CMS. Una vulnerabilidad de inyección de contenidos web (WCI) almacenada, también conocida como Cross-Site Scripting (XSS), está presente en MODX Revolution CMS en versiones 2.5.6 y anteriores. Un usuario autenticado con permisos para editar usuarios puede guardar código JavaScript malicioso como un nombre de grupo de usuarios y podría tomar el control de las cuentas de las víctimas. • https://raw.githubusercontent.com/modxcms/revolution/v2.5.7-pl/core/docs/changelog.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11744
https://notcve.org/view.php?id=CVE-2017-11744
In MODX Revolution 2.5.7, the "key" and "name" parameters in the System Settings module are vulnerable to XSS. A malicious payload sent to connectors/index.php will be triggered by every user, when they visit this module. En MODX Revolution versión 2.5.7, los parámetros "key" y "name" en el módulo Configuración de Sistema son vulnerables a ataques de tipo XSS. Cada usuario que acceda a este módulo activará una carga maliciosa enviada hacia el archivo connectors/index.php que será activado por cada usuario, cuando visiten este módulo. • https://github.com/modxcms/revolution/issues/13564 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 37EXPL: 0CVE-2017-1000067
https://notcve.org/view.php?id=CVE-2017-1000067
MODX Revolution version 2.x - 2.5.6 is vulnerable to blind SQL injection caused by improper sanitization by the escape method resulting in authenticated user accessing database and possibly escalating privileges. MODX Revolution versión 2.x hasta 2.5.6, es vulnerable a inyección SQL ciega causada por un saneamiento inapropiado mediante el método de escape, resultando en que un usuario autenticado acceda a la base de datos y posiblemente escale privilegios. • https://github.com/modxcms/revolution/blob/9bf1c6cf7bdc12190b404f93ce7798b39c07bc59/core/xpdo/changelog.txt • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.0EPSS: 0%CPEs: 2EXPL: 1CVE-2017-9067
https://notcve.org/view.php?id=CVE-2017-9067
In MODX Revolution before 2.5.7, when PHP 5.3.3 is used, an attacker is able to include and execute arbitrary files on the web server due to insufficient validation of the action parameter to setup/index.php, aka directory traversal. En MODX Revolution anterior a versión 2.5.7, cuando se utiliza PHP versión 5.3.3, un atacante es capaz de incluir y ejecutar archivos arbitrarios en el servidor web debido a la comprobación insuficiente del parámetro action en el archivo setup/index.php, también se conoce como salto de directorio. • https://citadelo.com/en/2017/04/modx-revolution-cms https://github.com/modxcms/revolution/pull/13422 https://github.com/modxcms/revolution/pull/13428 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •