CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-35361
https://notcve.org/view.php?id=CVE-2021-35361
A reflected cross site scripting (XSS) vulnerability in dotAdmin/#/c/links of dotCMS 21.05.1 allows attackers to execute arbitrary commands or HTML via a crafted payload. Una vulnerabilidad de tipo cross site scripting (XSS) reflejado en el archivo dotAdmin/#/c/links de dotCMS versión 21.05.1, permite a atacantes ejecutar comandos o HTML arbitrarios por medio de una carga útil diseñada • https://github.com/dotCMS/core/issues/20541 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-35360
https://notcve.org/view.php?id=CVE-2021-35360
A reflected cross site scripting (XSS) vulnerability in dotAdmin/#/c/containers of dotCMS 21.05.1 allows attackers to execute arbitrary commands or HTML via a crafted payload. Una vulnerabilidad de tipo cross site scripting (XSS) reflejado en el archivo dotAdmin/#/c/containers de dotCMS versión 21.05.1, permite a atacantes ejecutar comandos o HTML arbitrario por medio de una carga útil diseñada • https://github.com/dotCMS/core/issues/20541 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-17542
https://notcve.org/view.php?id=CVE-2020-17542
Cross Site Scripting (XSS) in dotCMS v5.1.5 allows remote attackers to execute arbitrary code by injecting a malicious payload into the "Task Detail" comment window of the "/dotAdmin/#/c/workflow" component. Una vulnerabilidad de tipo Cross Site Scripting (XSS) en dotCMS versión v5.1.5, permite a atacantes remotos ejecutar código arbitrario al inyectar una carga útil maliciosa en la ventana de comentarios "Task Detail" del componente "/dotAdmin/#/c/workflow" • https://github.com/dotCMS/core/issues/16890 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-27848
https://notcve.org/view.php?id=CVE-2020-27848
dotCMS before 20.10.1 allows SQL injection, as demonstrated by the /api/v1/containers orderby parameter. The PaginatorOrdered classes that are used to paginate results of a REST endpoints do not sanitize the orderBy parameter and in some cases it is vulnerable to SQL injection attacks. A user must be an authenticated manager in the dotCMS system to exploit this vulnerability. dotCMS versiones anteriores a 20.10.1, permite una inyección SQL, como es demostrado por el parámetro orderby del archivo arch/api/v1/containers. Las clases PaginatorOrdered que son usadas para paginar los resultados de un endpoint REST no sanean el parámetro orderBy y, en algunos casos, es vulnerable a ataques de inyección SQL. Un usuario debe ser un administrador autenticado en el sistema dotCMS para explotar esta vulnerabilidad. • https://github.com/dotCMS/core/compare/v5.3.8.1...v20.10.1 https://github.com/dotCMS/core/issues/19500 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35274
https://notcve.org/view.php?id=CVE-2020-35274
DotCMS Add Template with admin panel 20.11 is affected by cross-site Scripting (XSS) to gain remote privileges. An attacker could compromise the security of a website or web application through a stored XSS attack and stealing cookies using XSS. DotCMS Add Template con panel de administración versión 20.11, está afectado por una vulnerabilidad de tipo Cross-Site Scripting (XSS) para alcanzar privilegios remotos. Un atacante podría comprometer la seguridad de un sitio web o una aplicación web mediante un ataque de tipo XSS almacenado y el robo de cookies usando un ataque de tipo XSS • http://dotcms.com https://www.exploit-db.com/exploits/49168 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •