CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35970
https://notcve.org/view.php?id=CVE-2020-35970
An issue was discovered in YzmCMS 5.8. There is a SSRF vulnerability in the background collection management that allows arbitrary file read. Se ha detectado un problema en YzmCMS 5.8. Se presenta una vulnerabilidad de tipo SSRF en la gestión de colecciones en segundo plano que permite una lectura arbitraria de archivos • https://github.com/yzmcms/yzmcms/issues/53 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35971
https://notcve.org/view.php?id=CVE-2020-35971
A storage XSS vulnerability is found in YzmCMS v5.8, which can be used by attackers to inject JS code and attack malicious XSS on the /admin/system_manage/user_config_edit.html page. Se ha encontrado una vulnerabilidad de tipo XSS almacenado en YzmCMS versión v5.8, que puede ser usada por atacantes para inyectar código JS y atacar una vulnerabilidad de tipo XSS malicioso en la página /admin/system_manage/user_config_edit.html • https://github.com/yzmcms/yzmcms/issues/54 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-35972
https://notcve.org/view.php?id=CVE-2020-35972
An issue was discovered in YzmCMS V5.8. There is a CSRF vulnerability that can add member user accounts via member/member/add.html. Se ha detectado un problema en YzmCMS versión V5.8. Se presenta una vulnerabilidad de tipo CSRF que puede añadir cuentas de usuarios miembros por medio del archivo member/member/add.html • https://github.com/yzmcms/yzmcms/issues/55 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23369
https://notcve.org/view.php?id=CVE-2020-23369
In YzmCMS 5.6, XSS was discovered in member/member_content/init.html via the SRC attribute of an IFRAME element because of using UEditor 1.4.3.3. En YzmCMS versión 5.6, una vulnerabilidad de tipo XSS fue detectado en el archivo member/member_content/init.html por medio del atributo SRC de un elemento IFRAME debido al uso de UEditor versión 1.4.3.3 • https://github.com/yzmcms/yzmcms/issues/46 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23370
https://notcve.org/view.php?id=CVE-2020-23370
In YzmCMS 5.6, stored XSS exists via the common/static/plugin/ueditor/1.4.3.3/php/controller.php action parameter, which allows remote attackers to upload a swf file. The swf file can be injected with arbitrary web script or HTML. En YzmCMS versión 5.6, una vulnerabilidad de tipo XSS almacenado se presenta por medio del parámetro action en el archivo common/static/plugin/ueditor/1.4.3.3/php/controller.php, que permite a atacantes remotos cargar un archivo swf. El archivo swf puede ser inyectado con un script web o HTML arbitrario • https://github.com/yzmcms/yzmcms/issues/45 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •