CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2022-37199
https://notcve.org/view.php?id=CVE-2022-37199
23 Aug 2022 — JFinal CMS 5.1.0 is vulnerable to SQL Injection via /jfinal_cms/system/user/list. JFinal CMS versión 5.1.0, es vulnerable a una inyección SQL por medio de /jfinal_cms/system/user/list. • https://github.com/jflyfox/jfinal_cms/issues/48 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1CVE-2022-34928
https://notcve.org/view.php?id=CVE-2022-34928
03 Aug 2022 — JFinal CMS v5.1.0 was discovered to contain a SQL injection vulnerability via /system/user. Se ha detectado que JFinal CMS versión v5.1.0, contiene una vulnerabilidad de inyección SQL por medio de /system/user • https://github.com/jflyfox/jfinal_cms/issues/43 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2022-33114
https://notcve.org/view.php?id=CVE-2022-33114
23 Jun 2022 — Jfinal CMS v5.1.0 was discovered to contain a SQL injection vulnerability via the attrVal parameter at /jfinal_cms/system/dict/list. Se ha detectado que Jfinal CMS versión v5.1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro attrVal en /jfinal_cms/system/dict/list • https://github.com/jflyfox/jfinal_cms/issues/38 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-33113
https://notcve.org/view.php?id=CVE-2022-33113
23 Jun 2022 — Jfinal CMS v5.1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the keyword text field under the publish blog module. Jfinal CMS versión v5.1.0, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el campo de texto de la palabra clave en el módulo de publicación del blog • https://github.com/jflyfox/jfinal_cms/issues/39 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-29648
https://notcve.org/view.php?id=CVE-2022-29648
31 May 2022 — A cross-site scripting (XSS) vulnerability in Jfinal CMS v5.1.0 allows attackers to execute arbitrary web scripts or HTML via a crafted X-Forwarded-For request. Una vulnerabilidad de tipo cross-site scripting (XSS) en Jfinal CMS versión v5.1.0, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una petición X-Forwarded-For diseñada • https://github.com/jflyfox/jfinal_cms/issues/34 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-30500
https://notcve.org/view.php?id=CVE-2022-30500
26 May 2022 — Jfinal cms 5.1.0 is vulnerable to SQL Injection. Jfinal cms versión 5.1.0 es vulnerable a una inyección SQL • https://github.com/jflyfox/jfinal_cms/issues/35 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2022-28505
https://notcve.org/view.php?id=CVE-2022-28505
03 May 2022 — Jfinal_cms 5.1.0 is vulnerable to SQL Injection via com.jflyfox.system.log.LogController.java. Jfinal_cms versión 5.1.0, es vulnerable a la inyección SQL por medio de com.jflyfox.system.log.LogController.java • https://github.com/jflyfox/jfinal_cms/issues/33 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-27111
https://notcve.org/view.php?id=CVE-2022-27111
11 Apr 2022 — Jfinal_CMS 5.1.0 allows attackers to use the feedback function to send malicious XSS code to the administrator backend and execute it. Jfinal_CMS versión 5.1.0, permite a atacantes usar la función feedback para enviar código de tipo XSS malicioso al backend del administrador y ejecutarlo • https://github.com/jflyfox/jfinal_cms/issues/32 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37262
https://notcve.org/view.php?id=CVE-2021-37262
16 Dec 2021 — JFinal_cms 5.1.0 is vulnerable to regex injection that may lead to Denial of Service. JFinal_cms versión 5.1.0, es vulnerable a la inyección de expresiones regulares que puede conllevar a una denegación de servicio • https://github.com/jflyfox/jfinal_cms/issues/23 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-40639
https://notcve.org/view.php?id=CVE-2021-40639
15 Sep 2021 — Improper access control in Jfinal CMS 5.1.0 allows attackers to access sensitive information via /classes/conf/db.properties&config=filemanager.config.js. Un control de acceso inapropiado en Jfinal CMS versión 5.1.0, permite a atacantes acceder a información confidencial por medio del archivo /classes/conf/db.properties&config=filemanager.config.js • http://jfinalcms.com • CWE-668: Exposure of Resource to Wrong Sphere CWE-863: Incorrect Authorization •