CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31746
https://notcve.org/view.php?id=CVE-2021-31746
Zip Slip vulnerability in Pluck-CMS Pluck 4.7.15 allows an attacker to upload specially crafted zip files, resulting in directory traversal and potentially arbitrary code execution. Una vulnerabilidad de Zip Slip en Pluck-CMS Pluck versión 4.7.15, permite a un atacante cargar archivos zip especialmente diseñados, resultando en un salto de directorio y una ejecución potencial de código arbitrario • https://github.com/pluck-cms/pluck/issues/100 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-31745
https://notcve.org/view.php?id=CVE-2021-31745
Session Fixation vulnerability in login.php in Pluck-CMS Pluck 4.7.15 allows an attacker to sustain unauthorized access to the platform. Because Pluck does not invalidate prior sessions after a password change, access can be sustained even after an administrator performs regular remediation attempts such as resetting their password. Una vulnerabilidad de Fijación de Sesión en el archivo login.php en Pluck-CMS Pluck versión 4.7.15, permite a un atacante mantener el acceso no autorizado a la plataforma. Debido a que Pluck no invalida las sesiones anteriores después de un cambio de contraseña, el acceso puede mantenerse incluso después de que un administrador lleve a cabo intentos regulares de reparación, como el restablecimiento de su contraseña • https://github.com/pluck-cms/pluck/issues/99 • CWE-384: Session Fixation •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2020-20951
https://notcve.org/view.php?id=CVE-2020-20951
In Pluck-4.7.10-dev2 admin background, a remote command execution vulnerability exists when uploading files. En el contexto de administración de Pluck versión 4.7.10-dev2, se presenta una vulnerabilidad de ejecución de comandos remota cuando se cargan archivos • https://cwe.mitre.org/data/definitions/434.html https://github.com/pluck-cms/pluck/issues/84 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-24740
https://notcve.org/view.php?id=CVE-2020-24740
An issue was discovered in Pluck 4.7.10-dev2. There is a CSRF vulnerability that can editpage via a /admin.php?action=editpage Se detectó un problema en Pluck versión 4.7.10-dev2. Se presenta una vulnerabilidad de tipo CSRF que puede editar una página por medio del parámetro /admin.php?action=editpage • https://github.com/pluck-cms/pluck/issues/81 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-18198
https://notcve.org/view.php?id=CVE-2020-18198
Cross Site Request Forgery (CSRF) in Pluck CMS v4.7.9 allows remote attackers to execute arbitrary code and delete specific images via the component " /admin.php?action=images." Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Pluck CMS versión v4.7.9, permite a atacantes remotos ejecutar código arbitrario y eliminar imágenes específicas por medio del componente "/admin.php?action=images" • https://github.com/pluck-cms/pluck/issues/69 • CWE-352: Cross-Site Request Forgery (CSRF) •