CVE-2020-22842
https://notcve.org/view.php?id=CVE-2020-22842
CMS Made Simple before 2.2.15 allows XSS via the m1_mod parameter in a ModuleManager local_uninstall action to admin/moduleinterface.php. CMS Made Simple versiones anteriores a 2.2.15, permite un ataque de tipo XSS por medio del parámetro m1_mod en una acción ModuleManager en la función local_uninstall en archivo admin/moduleinterface.php • http://dev.cmsmadesimple.org/bug/view/12291 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-17462
https://notcve.org/view.php?id=CVE-2020-17462
CMS Made Simple 2.2.14 allows Authenticated Arbitrary File Upload because the File Manager does not block .ptar files, a related issue to CVE-2017-16798. CMS Made Simple versión 2.2.14, permite una Carga de Archivos Arbitraria Autenticada porque el File Manager no bloquea los archivos .ptar, un problema relacionado al CVE-2017-16798. • https://www.exploit-db.com/exploits/48742 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2020-14926
https://notcve.org/view.php?id=CVE-2020-14926
CMS Made Simple 2.2.14 allows XSS via a Search Term to the admin/moduleinterface.php?mact=ModuleManager page. CMS Made Simple versión 2.2.14, permite un ataque de tipo XSS por medio de Search Term en la página admin/moduleinterface.php?mact=ModuleManager • http://dev.cmsmadesimple.org/bug/view/12324 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-13660
https://notcve.org/view.php?id=CVE-2020-13660
CMS Made Simple through 2.2.14 allows XSS via a crafted File Picker profile name. CMS Made Simple versiones hasta 2.2.14, permite un ataque de tipo XSS por medio de un nombre de perfil de File Picker. • http://dev.cmsmadesimple.org/bug/view/12312 https://www.youtube.com/watch?v=Q6RMhmpScho • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-10682
https://notcve.org/view.php?id=CVE-2020-10682
The Filemanager in CMS Made Simple 2.2.13 allows remote code execution via a .php.jpegd JPEG file, as demonstrated by m1_files[] to admin/moduleinterface.php. The file should be sent as application/octet-stream and contain PHP code (it need not be a valid JPEG file). Filemanager en CMS Made Simple versión 2.2.13, permite una ejecución de código remota por medio de un archivo JPEG .php.jpegd, como es demostrado por el parámetro m1_files[] en el archivo admin/moduleinterface.php. El archivo debe ser enviado como application/octet-stream y contener código PHP (no es necesario que sea un archivo JPEG válido). • http://dev.cmsmadesimple.org/bug/view/12275 • CWE-434: Unrestricted Upload of File with Dangerous Type •