CVE-2020-18084
https://notcve.org/view.php?id=CVE-2020-18084
Cross Site Scripting (XSS) in yzmCMS v5.2 allows remote attackers to execute arbitrary code by injecting commands into the "referer" field of a POST request to the component "/member/index/login.html" when logging in. Una vulnerabilidad de tipo Cross Site Scripting (XSS) en yzmCMS versión v5.2, permite a atacantes remotos ejecutar código arbitrario al inyectar comandos en el campo "referer" de una petición POST en el componente "/member/index/login.html" al iniciar sesión. • https://github.com/yzmcms/yzmcms/issues/9 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-22394
https://notcve.org/view.php?id=CVE-2020-22394
In YzmCMS v5.5 the member contribution function in the editor contains a cross-site scripting (XSS) vulnerability. En YzmCMS versión v5.5, la función member contribution en el editor contiene una vulnerabilidad de tipo Cross-site Scripting (XSS) • https://github.com/yzmcms/yzmcms/issues/42 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-16532
https://notcve.org/view.php?id=CVE-2019-16532
An HTTP Host header injection vulnerability exists in YzmCMS V5.3. A malicious user can poison a web cache or trigger redirections. Se presenta una vulnerabilidad de inyección de encabezado host HTTP en YzmCMS versión V5.3. Un usuario malicioso puede envenenar una caché web o activar redireccionamientos. • https://github.com/yzmcms/yzmcms/issues/28 https://www.exploit-db.com/exploits/47422 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2019-16678
https://notcve.org/view.php?id=CVE-2019-16678
admin/urlrule/add.html in YzmCMS 5.3 allows CSRF with a resultant denial of service by adding a superseding route. El archivo admin/urlrule/add.html en YzmCMS versión 5.3, permite un ataque de tipo CSRF con una denegación de servicio resultante al agregar una ruta de reemplazo. • https://github.com/yzmcms/yzmcms/issues/27 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-16247
https://notcve.org/view.php?id=CVE-2018-16247
YzmCMS 5.1 has XSS via the admin/system_manage/user_config_add.html title parameter. YzmCMS 5.1 tiene XSS a través del parámetro admin / system_manage / user_config_add.html title. • https://github.com/yzmcms/yzmcms/issues/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •