CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8706
https://notcve.org/view.php?id=CVE-2014-8706
Pluck CMS 4.7.2 allows remote attackers to obtain sensitive information by (1) changing "PHPSESSID" to an array; (2) adding non-alphanumeric chars to "PHPSESSID"; (3) changing the image parameter to an array; or (4) changing the image parameter to a string, which reveals the installation path in an error message. Pluck CMS 4.7.2 permite a atacantes remotos obtener información sensible al (1) cambiar "PHPSESSID" a un array; (2) añadir caracteres alfanuméricos a "PHPSESSID"; (3) cambiar el parámetro image a un array; o (4) cambiar el parámetro image a una cadena, lo que revela la ruta de instalación en un mensaje de error. • http://rossmarks.uk/portfolio.php http://rossmarks.uk/whitepapers/pluck_cms_4.7.txt • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2014-8707
https://notcve.org/view.php?id=CVE-2014-8707
Cross-site scripting (XSS) vulnerability in TinyMCE in Pluck CMS 4.7.2 allows remote authenticated users to inject arbitrary web script or HTML via the "edit HTML source" option. Vulnerabilidad de XSS en TinyMCE en Pluck CMS 4.7.2 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios mediante la opción "editar fuente HTML". • http://rossmarks.uk/portfolio.php http://rossmarks.uk/whitepapers/pluck_cms_4.7.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2014-8708
https://notcve.org/view.php?id=CVE-2014-8708
Pluck CMS 4.7.2 allows remote attackers to execute arbitrary code via the blog form feature. Pluck CMS 4.7.2 permite a atacantes remotos ejecutar código arbitrario a través de la funcionalidad del formulario del blog. • http://rossmarks.uk/portfolio.php http://rossmarks.uk/whitepapers/pluck_cms_4.7.txt • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2012-1227
https://notcve.org/view.php?id=CVE-2012-1227
Multiple cross-site request forgery (CSRF) vulnerabilities in admin.php in pluck 4.7 allow remote attackers to hijack the authentication of admins for requests that (1) modify the admin email address or (2) modify the blog title via a settings action; (3) add a page via an editpage action, or (4) add a categorie via the blog module. Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en admin.php en pluck v4.7, permite a atacantes remotos secuestrar la autenticación de los administradores para las peticiones que (1) modifican la dirección de correo electrónico de administración o (2) modifican el título del blog a través de una acción de configuración, (3) agregan una página a través de una acción editpage, o (4) añaden una categoría a través del módulo del blog. • http://osvdb.org/79005 http://secunia.com/advisories/47934 http://www.exploit-db.com/exploits/18474 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 1%CPEs: 1EXPL: 2CVE-2008-6842 – Pluck CMS 4.6.1 - 'module_pages_site.php' Local File Inclusion
https://notcve.org/view.php?id=CVE-2008-6842
Directory traversal vulnerability in data/modules/blog/module_pages_site.php in Pluck 4.6.1 allows remote attackers to include and execute arbitrary local files via a .. (dot dot) in the post parameter. Vulnerabilidad de salto de directorio en data/modules/blog/module_pages_site.php en Pluck v4.6.1 permite a los atacantes remotos incluir e ejecutar arbitrariamente archivos locales a traves de ..(punto punto) el el parámetro post. • https://www.exploit-db.com/exploits/8271 http://secunia.com/advisories/34415 http://www.securityfocus.com/bid/34207 https://exchange.xforce.ibmcloud.com/vulnerabilities/49378 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •