CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2022-37199
https://notcve.org/view.php?id=CVE-2022-37199
23 Aug 2022 — JFinal CMS 5.1.0 is vulnerable to SQL Injection via /jfinal_cms/system/user/list. JFinal CMS versión 5.1.0, es vulnerable a una inyección SQL por medio de /jfinal_cms/system/user/list. • https://github.com/jflyfox/jfinal_cms/issues/48 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1CVE-2022-34928
https://notcve.org/view.php?id=CVE-2022-34928
03 Aug 2022 — JFinal CMS v5.1.0 was discovered to contain a SQL injection vulnerability via /system/user. Se ha detectado que JFinal CMS versión v5.1.0, contiene una vulnerabilidad de inyección SQL por medio de /system/user • https://github.com/jflyfox/jfinal_cms/issues/43 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2022-33114
https://notcve.org/view.php?id=CVE-2022-33114
23 Jun 2022 — Jfinal CMS v5.1.0 was discovered to contain a SQL injection vulnerability via the attrVal parameter at /jfinal_cms/system/dict/list. Se ha detectado que Jfinal CMS versión v5.1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro attrVal en /jfinal_cms/system/dict/list • https://github.com/jflyfox/jfinal_cms/issues/38 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-33113
https://notcve.org/view.php?id=CVE-2022-33113
23 Jun 2022 — Jfinal CMS v5.1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the keyword text field under the publish blog module. Jfinal CMS versión v5.1.0, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el campo de texto de la palabra clave en el módulo de publicación del blog • https://github.com/jflyfox/jfinal_cms/issues/39 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29648
https://notcve.org/view.php?id=CVE-2022-29648
31 May 2022 — A cross-site scripting (XSS) vulnerability in Jfinal CMS v5.1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted X-Forwarded-For request. Una vulnerabilidad de tipo cross-site scripting (XSS) en Jfinal CMS versión v5.1.0, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una petición X-Forwarded-For diseñada • https://github.com/jflyfox/jfinal_cms/issues/34 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-30500
https://notcve.org/view.php?id=CVE-2022-30500
26 May 2022 — Jfinal cms 5.1.0 is vulnerable to SQL Injection. Jfinal cms versión 5.1.0 es vulnerable a una inyección SQL • https://github.com/jflyfox/jfinal_cms/issues/35 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-42242
https://notcve.org/view.php?id=CVE-2021-42242
05 May 2022 — A command execution vulnerability exists in jfinal_cms 5.0.1 via com.jflyfox.component.controller.Ueditor. Se presenta una vulnerabilidad de ejecución de comandos en jfinal_cms versión 5.0.1, por medio de com.jflyfox.component.controller.Ueditor • https://github.com/jflyfox/jfinal_cms/issues/28 •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2022-28505
https://notcve.org/view.php?id=CVE-2022-28505
03 May 2022 — Jfinal_cms 5.1.0 is vulnerable to SQL Injection via com.jflyfox.system.log.LogController.java. Jfinal_cms versión 5.1.0, es vulnerable a la inyección SQL por medio de com.jflyfox.system.log.LogController.java • https://github.com/jflyfox/jfinal_cms/issues/33 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-27111
https://notcve.org/view.php?id=CVE-2022-27111
11 Apr 2022 — Jfinal_CMS 5.1.0 allows attackers to use the feedback function to send malicious XSS code to the administrator backend and execute it. Jfinal_CMS versión 5.1.0, permite a atacantes usar la función feedback para enviar código de tipo XSS malicioso al backend del administrador y ejecutarlo • https://github.com/jflyfox/jfinal_cms/issues/32 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-46087
https://notcve.org/view.php?id=CVE-2021-46087
25 Jan 2022 — In jfinal_cms >= 5.1 0, there is a storage XSS vulnerability in the background system of CMS. Because developers do not filter the parameters submitted by the user input form, any user with background permission can affect the system security by entering malicious code. En jfinal_cms versiones posteriores a 5.1 0 incluyéndola, se presenta una vulnerabilidad de tipo XSS de almacenamiento en el sistema de fondo del CMS. Debido a que los desarrolladores no filtran los parámetros enviados por el formulario de e... • https://github.com/jflyfox/jfinal_cms/issues/19 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •