CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-19893
https://notcve.org/view.php?id=CVE-2018-19893
SearchController.php in PbootCMS 1.2.1 has SQL injection via the index.php/Search/index.html query string. SearchController.php en PbootCMS 1.2.1 tiene una inyección SQL mediante la cadena de consulta en index.php/Search/index.html. • https://github.com/Pbootcms/Pbootcms/issues/3 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 4%CPEs: 1EXPL: 1CVE-2018-19595
https://notcve.org/view.php?id=CVE-2018-19595
PbootCMS V1.3.1 build 2018-11-14 allows remote attackers to execute arbitrary code via use of "eval" with mixed case, as demonstrated by an index.php/list/5/?current={pboot:if(evAl($_GET[a]))}1{/pboot:if}&a=phpinfo(); URI, because of an incorrect apps\home\controller\ParserController.php parserIfLabel protection mechanism. PbootCMS V1.3.1, en su build del 14/11/2018, permite que los atacantes remotos ejecuten código arbitrario mediante el uso de "eval" con un caso mixto, tal y como queda demostrado con una URI index.php/list/5/?current={pboot:if(evAl($_GET[a]))}1{/pboot:if}a=phpinfo();. Esto se debe a un mecanismo de protección parserIfLabel incorrecto en apps\home\controller\ParserController.php. • http://www.ttk7.cn/post-107.html https://www.pbootcms.com/changelog.html https://www.pbootcms.com/content/139.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2018-19053
https://notcve.org/view.php?id=CVE-2018-19053
PbootCMS 1.2.2 allows remote attackers to execute arbitrary PHP code by specifying a .php filename in a "SET GLOBAL general_log_file" statement, followed by a SELECT statement containing this PHP code. PbootCMS 1.2.2 permite que atacantes remotos ejecuten código PHP arbitrario especificando un nombre de archivo .php en una instrucción "SET GLOBAL general_log_file", seguida por una instrucción SELECT que contiene un código PHP. • https://github.com/Pbootcms/Pbootcms/issues/2 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18450
https://notcve.org/view.php?id=CVE-2018-18450
apps\admin\controller\content\SingleController.php in PbootCMS before V1.3.0 build 2018-11-12 has SQL Injection, as demonstrated by the POST data to the admin.php/Single/mod/mcode/1/id/3 URI. apps\admin\controller\content\SingleController.php en PbootCMS en versiones anteriores a la V1.3.0 build 12/11/2018 tiene una inyección SQL, tal y como queda demostrado con los datos POST en el URI admin.php/Single/mod/mcode/1/id/3. • http://www.ttk7.cn/post-96.html https://www.pbootcms.com/changelog.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18211
https://notcve.org/view.php?id=CVE-2018-18211
PbootCMS 1.2.1 has SQL injection via the HTTP POST data to the api.php/cms/addform?fcode=1 URI. PbootCMS 1.2.1 tiene una inyección SQL mediante los datos HTTP POST en el URI api.php/cms/addform?fcode=1. • https://github.com/Pbootcms/Pbootcms/issues/1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •