CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27432
https://notcve.org/view.php?id=CVE-2022-27432
A Cross-Site Request Forgery (CSRF) in Pluck CMS v4.7.15 allows attackers to change the password of any given user by exploiting this feature leading to account takeover. Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en Pluck CMS versión v4.7.15, permite a atacantes cambiar la contraseña de un usuario determinado al explotar esta funcionalidad, conllevando a una toma de posesión de la cuenta • https://owasp.org/www-community/attacks/csrf https://www.exploit-db.com/exploits/50831 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.2EPSS: 3%CPEs: 1EXPL: 3CVE-2022-26965 – Pluck CMS 4.7.16 - Remote Code Execution (RCE) (Authenticated)
https://notcve.org/view.php?id=CVE-2022-26965
In Pluck 4.7.16, an admin user can use the theme upload functionality at /admin.php?action=themeinstall to perform remote code execution. En Pluck versión 4.7.16, un usuario administrador puede usar la funcionalidad theme upload en /admin.php?action=themeinstall para llevar a cabo una ejecución de código remota Pluck CMS version 4.7.16 suffers from a remote shell upload execution vulnerability. • https://www.exploit-db.com/exploits/50826 https://packetstormsecurity.com/files/166336/Pluck-CMS-4.7.16-Shell-Upload.html https://youtu.be/sN6J_X4mEbY • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-27984
https://notcve.org/view.php?id=CVE-2021-27984
In Pluck-4.7.15 admin background a remote command execution vulnerability exists when uploading files. En Pluck versión 4.7.15 admin background, se presenta una vulnerabilidad de ejecución de comandos remota cuando son subidos archivos • https://github.com/pluck-cms/pluck/issues/98 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-31747
https://notcve.org/view.php?id=CVE-2021-31747
Missing SSL Certificate Validation issue exists in Pluck 4.7.15 in update_applet.php, which could lead to man-in-the-middle attacks. Se presenta un problema de comprobación de certificados SSL en Pluck versión 4.7.15, en el archivo update_applet.php, que podría conllevar a ataques de tipo man-in-the-middle • https://github.com/pluck-cms/pluck/issues/101 • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31746
https://notcve.org/view.php?id=CVE-2021-31746
Zip Slip vulnerability in Pluck-CMS Pluck 4.7.15 allows an attacker to upload specially crafted zip files, resulting in directory traversal and potentially arbitrary code execution. Una vulnerabilidad de Zip Slip en Pluck-CMS Pluck versión 4.7.15, permite a un atacante cargar archivos zip especialmente diseñados, resultando en un salto de directorio y una ejecución potencial de código arbitrario • https://github.com/pluck-cms/pluck/issues/100 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •