CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 1CVE-2018-12046
https://notcve.org/view.php?id=CVE-2018-12046
DedeCMS through 5.7SP2 allows arbitrary file write in dede/file_manage_control.php via a dede/file_manage_view.php?fmdo=newfile request with name and str parameters, as demonstrated by writing to a new .php file. DedeCMS hasta la versión V5.7SP2 permite la escritura de archivos arbitrarios en dede/file_manage_control.php mediante una petición dede/file_manage_view.php?fmdo=newfile con los parámetros name y str, tal y como queda demostrado con la escritura a un nuevo archivo .php. • https://github.com/SukaraLin/php_code_audit_project/blob/master/dedecms/dedecms%20v5.7%20sp2%20%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1.md • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 1CVE-2018-12045
https://notcve.org/view.php?id=CVE-2018-12045
DedeCMS through V5.7SP2 allows arbitrary file upload in dede/file_manage_control.php via a dede/file_manage_view.php?fmdo=upload request with an upfile1 parameter, as demonstrated by uploading a .php file. DedeCMS hasta la versión V5.7SP2 permite la subida de archivos arbitrarios en dede/file_manage_control.php mediante una petición dede/file_manage_view.php?fmdo=upload con un parámetro upfile1, tal y como queda demostrado con la subida de un archivo .php. • https://github.com/SukaraLin/php_code_audit_project/blob/master/dedecms/dedecms%20v5.7%20sp2%20%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1.md • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 20%CPEs: 1EXPL: 1CVE-2017-17731
https://notcve.org/view.php?id=CVE-2017-17731
DedeCMS through 5.7 has SQL Injection via the $_FILES superglobal to plus/recommend.php. DedeCMS hasta la versión 5.7 tiene una vulnerabilidad de inyección SQL mediante la superglobal $_FILES en plus/recommend.php. • http://0day5.com/archives/1346 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-17730
https://notcve.org/view.php?id=CVE-2017-17730
DedeCMS through 5.7 has SQL Injection via the logo parameter to plus/flink_add.php. DedeCMS hasta la versión 5.7 tiene una vulnerabilidad de inyección SQL mediante el parámetro logo en plus/flink_add.php. • http://0day5.com/archives/1542 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-17727
https://notcve.org/view.php?id=CVE-2017-17727
DedeCMS through 5.6 allows arbitrary file upload and PHP code execution by embedding the PHP code in a .jpg file, which is used in the templet parameter to member/article_edit.php. DedeCMS hasta la versión 5.6 permite la subida de archivos arbitrarios y la ejecución de código PHP embebiendo el código PHP en un archivo .jpg que se usa en el parámetro templet en member/article_edit.php. • https://www.seebug.org/vuldb/ssvid-20050 • CWE-434: Unrestricted Upload of File with Dangerous Type •