CVE-2018-10082
https://notcve.org/view.php?id=CVE-2018-10082
CMS Made Simple (CMSMS) through 2.2.7 allows physical path leakage via an invalid /index.php?page= value, a crafted URI starting with /index.php?mact=Search, or a direct request to /admin/header.php, /admin/footer.php, /lib/tasks/class.ClearCache.task.php, or /lib/tasks/class.CmsSecurityCheck.task.php. CMS Made Simple (CMSMS) hasta la versión 2.2.7 permite el filtrado de la ruta física mediante un valor /index.php?page= no válido, un URI manipulado que comience por /index.php? • https://github.com/itodaro/cve/blob/master/README.md • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-10086
https://notcve.org/view.php?id=CVE-2018-10086
CMS Made Simple (CMSMS) through 2.2.7 contains an arbitrary code execution vulnerability in the admin dashboard because the implementation uses "eval('function testfunction'.rand()" and it is possible to bypass certain restrictions on these "testfunction" functions. CMS Made Simple (CMSMS) hasta la versión 2.2.7 contiene una vulnerabilidad de ejecución de código arbitrario en el panel de administración debido a que la implementación emplea "eval('function testfunction'.rand()" y es posible omitir ciertas restricciones en estas funciones "testfunction". • https://github.com/itodaro/cve/blob/master/README.md • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2018-10030
https://notcve.org/view.php?id=CVE-2018-10030
CMS Made Simple (aka CMSMS) 2.2.7 has CSRF in admin/siteprefs.php. CMS Made Simple (también conocido como CMSMS) 2.2.7 tiene Cross-Site Request Forgery (CSRF) en admin/siteprefs.php. • https://github.com/zxyxx/cmsms_vul • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-10029
https://notcve.org/view.php?id=CVE-2018-10029
CMS Made Simple (aka CMSMS) 2.2.7 has Reflected XSS in admin/moduleinterface.php via the m1_name parameter, related to moduledepends, a different vulnerability than CVE-2017-16799. CMS Made Simple (también conocido como CMSMS) 2.2.7 tiene Cross-Site Scripting (XSS) reflejado en admin/moduleinterface.php a través del parámetro m1_name. Esto está relacionado con con moduledepends y es una vulnerabilidad diferente de CVE-2017-16799. • https://github.com/zxyxx/cmsms_vul • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-10033
https://notcve.org/view.php?id=CVE-2018-10033
CMS Made Simple (aka CMSMS) 2.2.7 has Stored XSS in admin/siteprefs.php via the metadata parameter. CMS Made Simple (también conocido como CMSMS) 2.2.7 tiene Cross-Site Scripting (XSS) persistente en admin/siteprefs.php a través del parámetro metadata. • https://github.com/zxyxx/cmsms_vul • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •