CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-17449
https://notcve.org/view.php?id=CVE-2020-17449
PHP-Fusion 9.03 allows XSS via the error_log file. PHP-Fusion versión 9.03, permite un ataque de tipo XSS por medio del archivo error_log • https://sec-consult.com/en/blog/advisories/multiple-cross-site-scripting-xss-vulnerabilities-in-php-fusion-cms • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-15041
https://notcve.org/view.php?id=CVE-2020-15041
PHP-Fusion 9.03.60 allows XSS via the administration/site_links.php Add Site Link field. PHP-Fusion versión 9.03.60, permite un ataque de tipo XSS por medio del campo Link del archivo administration/site_links.php • https://github.com/php-fusion/PHP-Fusion/issues/2330 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 10%CPEs: 1EXPL: 2CVE-2020-14960
https://notcve.org/view.php?id=CVE-2020-14960
A SQL injection vulnerability in PHP-Fusion 9.03.50 affects the endpoint administration/comments.php via the ctype parameter, Una vulnerabilidad de inyección SQL en PHP-Fusion versión 9.03.50, afecta el endpoint administration/comments.php por medio del parámetro ctype • https://github.com/php-fusion/PHP-Fusion/commit/b3bde37f60e96f1a8ddd1439658307b28be77db5 https://github.com/php-fusion/PHP-Fusion/issues/2327 https://www.exploit-db.com/exploits/48487 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-12718
https://notcve.org/view.php?id=CVE-2020-12718
In administration/comments.php in PHP-Fusion 9.03.50, an authenticated attacker can take advantage of a stored XSS vulnerability in the Preview Comment feature. The protection mechanism can be bypassed by using HTML event handlers such as ontoggle. En el archivo administration/comments.php en PHP-Fusion versión 9.03.50, un atacante autenticado puede tomar ventaja de una vulnerabilidad de tipo XSS almacenado en la funcionalidad Preview Comment. El mecanismo de protección pueda ser omitido por medio del uso de controladores de eventos HTML, tal y como ontoggle. • https://github.com/php-fusion/PHP-Fusion/issues/2309 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-12706 – php-fusion 9.03.50 - Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-12706
Multiple Cross-site scripting vulnerabilities in PHP-Fusion 9.03.50 allow remote attackers to inject arbitrary web script or HTML via the go parameter to faq/faq_admin.php or shoutbox_panel/shoutbox_admin.php Múltiples vulnerabilidades de tipo Cross-site scripting en PHP-Fusion versión 9.03.50, permiten a atacantes remotos inyectar script web o HTML arbitrario mediante el parámetro go en el archivo faq/faq_admin.php o shoutbox_panel/shoutbox_admin.php • https://www.exploit-db.com/exploits/48404 https://github.com/php-fusion/PHP-Fusion/commit/67273e546642d39451858a47296957807c9abd5f https://github.com/php-fusion/PHP-Fusion/issues/2306 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •