CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-19092
https://notcve.org/view.php?id=CVE-2018-19092
An issue was discovered in YzmCMS v5.2. It has XSS via a search/index/archives/pubtime/ query string, as demonstrated by the search/index/archives/pubtime/1526387722/page/1.html URI. NOTE: this does not obtain a user's cookie. Se ha descubierto un problema en YzmCMS v5.2. Tiene Cross-Site Scripting (XSS) mediante una cadena de consulta en search/index/archives/pubtime/, tal y como queda demostrado con el URI search/index/archives/pubtime/1526387722/page/1.html. • https://github.com/yzmcms/yzmcms/issues/7 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17044
https://notcve.org/view.php?id=CVE-2018-17044
In YzmCMS 5.1, stored XSS exists via the admin/system_manage/user_config_add.html title parameter. En YzmCMS 5.1, existe Cross-Site Scripting (XSS) persistente mediante el parámetro title en admin system_manage user_config_add.html. • https://github.com/yzmcms/yzmcms/issues/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11554
https://notcve.org/view.php?id=CVE-2018-11554
The forgotten-password feature in index.php/member/reset/reset_email.html in YzmCMS v3.2 through v3.7 has a Response Discrepancy Information Exposure issue and an unexpectedly long lifetime for a verification code, which makes it easier for remote attackers to hijack accounts via a brute-force approach. La funcionalidad de contraseña olvidada en index.php/member/reset/reset_email.html en YzmCMS, de la versión v3.2 hasta la v3.7 tiene un problema de exposición de información por discrepancia en la respuesta y un tiempo de vida inesperadamente largo para un código de verificación. Esto hace que a los atacantes remotos les sea más sencillo secuestrar cuentas mediante un enfoque de fuerza bruta. • https://github.com/littleheary/-YzmCMS-User-Traversal-Vulnerability/blob/master/README.md • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2018-10224
https://notcve.org/view.php?id=CVE-2018-10224
An issue was discovered in YzmCMS 3.8. There is a CSRF vulnerability that can add a tag via /index.php/admin/tag/add.html. Se ha descubierto un problema en YzmCMS 3.8. Hay una vulnerabilidad de Cross-Site Request Forgery (CSRF) que puede añadir una etiqueta mediante /index.php/admin/tag/add.html. • http://www.8sec.cc/archives/601 https://github.com/yzmcms/yzmcms/issues/2 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2018-10223
https://notcve.org/view.php?id=CVE-2018-10223
An issue was discovered in YzmCMS 3.8. There is a CSRF vulnerability that can add an admin account via /index.php/admin/admin_manage/add.html. Se ha descubierto un problema en YzmCMS 3.8. Hay una vulnerabilidad de Cross-Site Request Forgery (CSRF) que puede añadir una cuenta admin mediante /index.php/admin/admin_manage/add.html. • http://www.8sec.cc/archives/596 https://github.com/yzmcms/yzmcms/issues/1 • CWE-352: Cross-Site Request Forgery (CSRF) •