Page 6 of 56 results (0.005 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

CMS Made Simple (CMSMS) through 2.2.7 contains an arbitrary file deletion vulnerability in the admin dashboard via directory traversal sequences in the val parameter within a cmd=del request, because code under modules\FilePicker does not restrict the val parameter. CMS Made Simple (CMSMS) hasta la versión 2.2.7 contiene una vulnerabilidad de borrado de archivos arbitrarios en el panel admin mediante secuencias de salto de directorio en el parámetro val con una petición cmd=del. Esto se debe a que el código en modules\FilePicker no restringe el parámetro val. • https://github.com/itodaro/cve/blob/master/README.md • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1

CMS Made Simple (CMSMS) through 2.2.7 allows physical path leakage via an invalid /index.php?page= value, a crafted URI starting with /index.php?mact=Search, or a direct request to /admin/header.php, /admin/footer.php, /lib/tasks/class.ClearCache.task.php, or /lib/tasks/class.CmsSecurityCheck.task.php. CMS Made Simple (CMSMS) hasta la versión 2.2.7 permite el filtrado de la ruta física mediante un valor /index.php?page= no válido, un URI manipulado que comience por /index.php? • https://github.com/itodaro/cve/blob/master/README.md • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1

CMS Made Simple (CMSMS) through 2.2.6 allows PHP object injection because of an unserialize call in the _get_data function of \lib\classes\internal\class.LoginOperations.php. By sending a crafted cookie, a remote attacker can upload and execute code, or delete files. CMS Made Simple (CMSMS) hasta la versión 2.2.6 permite la inyección de objetos PHP debido a una llamada unserialize en la función _get_data de \lib\classes\internal\class.LoginOperations.php. Mediante el envío de una cookie manipulada, un atacante remoto puede subir y ejecutar código o eliminar archivos • https://github.com/itodaro/cve/blob/master/README.md • CWE-502: Deserialization of Untrusted Data •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

CMS Made Simple (aka CMSMS) 2.2.7 has CSRF in admin/moduleinterface.php. CMS Made Simple (también conocido como CMSMS) 2.2.7 tiene Cross-Site Request Forgery (CSRF) en admin/moduleinterface.php. • https://github.com/zxyxx/cmsms_vul • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1

CMS Made Simple (aka CMSMS) 2.2.7 has Reflected XSS in admin/moduleinterface.php via the m1_name parameter, related to moduledepends, a different vulnerability than CVE-2017-16799. CMS Made Simple (también conocido como CMSMS) 2.2.7 tiene Cross-Site Scripting (XSS) reflejado en admin/moduleinterface.php a través del parámetro m1_name. Esto está relacionado con con moduledepends y es una vulnerabilidad diferente de CVE-2017-16799. • https://github.com/zxyxx/cmsms_vul • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •