CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-24000
https://notcve.org/view.php?id=CVE-2020-24000
SQL Injection vulnerability in eyoucms cms v1.4.7, allows attackers to execute arbitrary code and disclose sensitive information, via the tid parameter to index.php. Una vulnerabilidad de inyección SQL en eyoucms cms versión v1.4.7, permite a atacantes ejecutar código arbitrario y revelar información confidencial, por medio del parámetro tid del archivo index.php • https://github.com/eyoucms/eyoucms/issues/13 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39501
https://notcve.org/view.php?id=CVE-2021-39501
EyouCMS 1.5.4 is vulnerable to Open Redirect. An attacker can redirect a user to a malicious url via the Logout function. EyouCMS versión 1.5.4, es vulnerable a una Redirección Abierta. Un atacante puede redirigir a un usuario a una url maliciosa por medio de la función Logout • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/issues/17 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-39500
https://notcve.org/view.php?id=CVE-2021-39500
Eyoucms 1.5.4 is vulnerable to Directory Traversal. Due to a lack of input data sanitizaton in param tpldir, filename, type, nid an attacker can inject "../" to escape and write file to writeable directories. Eyoucms versión 1.5.4, es vulnerable aun Salto de Directorio. Debido a una falta de saneo de los datos de entrada en los parámetros tpldir, filename, type, nid un atacante puede inyectar "../" para escapar y escribir archivos en directorios escribibles • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/releases/tag/v1.5.4 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39499
https://notcve.org/view.php?id=CVE-2021-39499
A Cross-site scripting (XSS) vulnerability in Users in Qiong ICP EyouCMS 1.5.4 allows remote attackers to inject arbitrary web script or HTML via the `title` parameter in bind_email function. Una vulnerabilidad de tipo Cross-site scripting (XSS) en Users en Qiong ICP EyouCMS versión 1.5.4, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro "title" en la función bind_email • https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/issues/18 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-39497
https://notcve.org/view.php?id=CVE-2021-39497
eyoucms 1.5.4 lacks sanitization of input data, allowing an attacker to inject a url to trigger blind SSRF via the saveRemote() function. eyoucms versión 1.5.4, carece de saneo de los datos de entrada, permitiendo a un atacante inyectar una url para desencadenar un ataque de tipo SSRF ciego por medio de la función saveRemote() • http://hptcybersec.com/ssrf_PoC.jpg https://github.com/KietNA-HPT/CVE https://github.com/eyoucms/eyoucms/releases/tag/v1.5.4 • CWE-918: Server-Side Request Forgery (SSRF) •