CVE-2022-23907
https://notcve.org/view.php?id=CVE-2022-23907
CMS Made Simple v2.2.15 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the parameter m1_fmmessage. Se ha detectado que CMS Made Simple versión v2.2.15, contiene una vulnerabilidad de tipo cross-site scripting (XSS) reflejado por medio del parámetro m1_fmmessage. • http://dev.cmsmadesimple.org/bug/view/12503 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-23906
https://notcve.org/view.php?id=CVE-2022-23906
CMS Made Simple v2.2.15 was discovered to contain a Remote Command Execution (RCE) vulnerability via the upload avatar function. This vulnerability is exploited via a crafted image file. Se ha detectado que CMS Made Simple versión v2.2.15, contiene una vulnerabilidad de Ejecución de Comandos Remota (RCE) por medio de la función upload avatar. Esta vulnerabilidad es explotada por medio de un archivo de imagen diseñado. • http://dev.cmsmadesimple.org/bug/view/12502 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2020-23481
https://notcve.org/view.php?id=CVE-2020-23481
CMS Made Simple 2.2.14 was discovered to contain a cross-site scripting (XSS) vulnerability which allows attackers to execute arbitrary web scripts or HTML via a crafted payload in the Field Definition text field. Se ha detectado que CMS Made Simple versión 2.2.14, contiene una vulnerabilidad de tipo cross-site scripting (XSS) que permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada en el campo Field Definition text • http://dev.cmsmadesimple.org/bug/view/12317 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-9060
https://notcve.org/view.php?id=CVE-2019-9060
An issue was discovered in CMS Made Simple 2.2.8. It is possible to achieve unauthenticated path traversal in the CGExtensions module (in the file action.setdefaulttemplate.php) with the m1_filename parameter; and through the action.showmessage.php file, it is possible to read arbitrary file content (by using that path traversal with m1_prefname set to cg_errormsg and m1_resettodefault=1). Se ha detectado un problema en CMS Made Simple versión 2.2.8. Es posible lograr un salto de ruta no autenticado en el módulo CGExtensions (en el archivo action.setdefaulttemplate.php) con el parámetro m1_filename; y mediante el archivo action.showmessage.php, es posible leer el contenido de un archivo arbitrario (al usar ese salto de ruta con m1_prefname establecido en cg_errormsg y m1_resettodefault=1) • http://dev.cmsmadesimple.org/project/changelog/5819 https://forum.cmsmadesimple.org/viewtopic.php?f=1&t=80285 https://newsletter.cmsmadesimple.org/w/89247Qog4jCRCuRinvhsofwg https://www.cmsmadesimple.org/2019/03/Announcing-CMS-Made-Simple-v2.2.10-Spuzzum • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2020-22732
https://notcve.org/view.php?id=CVE-2020-22732
CMS Made Simple (CMSMS) 2.2.14 allows stored XSS via the Extensions > Fie Picker.. CMS Made Simple (CMSMS) versión 2.2.14, permite un ataque de tipo XSS almacenado por medio de las Extensiones ) Fie Picker.. • http://dev.cmsmadesimple.org/bug/view/12288 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •