CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-28552
https://notcve.org/view.php?id=CVE-2022-28552
04 May 2022 — Cscms 4.1 is vulnerable to SQL Injection. Log into the background, open the song module, create a new song, delete it to the recycle bin, and SQL injection security problems will occur when emptying the recycle bin. Cscms versión 4.1, es vulnerable a una Inyección SQL. Si es entrado en el fondo, es abierto el módulo de canciones, es creada una nueva canción y es borrada a la papelera, serán producidos problemas de seguridad de inyección SQL cuando sea vaciada la papelera • https://github.com/chshcms/cscms/issues/10 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-28103
https://notcve.org/view.php?id=CVE-2020-28103
11 Jan 2022 — cscms v4.1 allows for SQL injection via the "page_del" function. cscms versión v4.1, permite la inyección SQL por medio de la función "page_del" • https://github.com/chshcms/cscms/issues/8 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-28102
https://notcve.org/view.php?id=CVE-2020-28102
11 Jan 2022 — cscms v4.1 allows for SQL injection via the "js_del" function. cscms versión v4.1, permite una inyección SQL por medio de la función "js_del" • https://github.com/chshcms/cscms/issues/9 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-22848
https://notcve.org/view.php?id=CVE-2020-22848
30 Aug 2021 — A remote code execution (RCE) vulnerability in the \Playsong.php component of cscms v4.1 allows attackers to execute arbitrary commands. Una vulnerabilidad de ejecución de código remota (RCE) en el componente \Playsong.php de cscms versión v4.1 permite a atacantes ejecutar comandos arbitrarios • https://github.com/chshcms/cscms/issues/6 •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-9598
https://notcve.org/view.php?id=CVE-2019-9598
07 Mar 2019 — An issue was discovered in Cscms 4.1.0. There is an admin.php/pay CSRF vulnerability that can change the payment account to redirect funds. Se ha descubierto un problema en Cscms 4.1.0. Hay una vulnerabilidad de Cross-Site Request Forgery (CSRF) en admin.php/pay que puede modificar la cuenta de pago para redirigir fondos. • https://github.com/chshcms/cscms/issues/4 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 5%CPEs: 1EXPL: 2CVE-2018-17126
https://notcve.org/view.php?id=CVE-2018-17126
17 Sep 2018 — CScms 4.1 allows remote code execution, as demonstrated by 1');eval($_POST[cmd]);# in Web Name to upload\plugins\sys\Install.php. CScms 4.1 permite la ejecución remota de código, tal y como queda demostrado con 1');eval($_POST[cmd]);# en Web Name en upload\plugins\sys\Install.php. • https://github.com/AvaterXXX/CScms/blob/master/CScms_xss.md#cscms_getshell • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2018-17125
https://notcve.org/view.php?id=CVE-2018-17125
17 Sep 2018 — CScms 4.1 allows arbitrary directory deletion via a dir=..\\ substring to plugins\sys\admin\Plugins.php. CScms 4.1 permite la eliminación de directorios arbitrarios mediante una subcadena dir=..\\ en plugins\sys\admin\Plugins.php. • https://github.com/AvaterXXX/CScms/blob/master/CScms_dirdel.md • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16730
https://notcve.org/view.php?id=CVE-2018-16730
08 Sep 2018 — \upload\plugins\sys\Install.php in CScms 4.1 has XSS via the site name. \upload\plugins\sys\Install.php en CScms 4.1 tiene Cross-Site Scripting (XSS) mediante el nombre del sitio. • https://github.com/AvaterXXX/CScms/blob/master/CScms_xss.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2018-16731
https://notcve.org/view.php?id=CVE-2018-16731
08 Sep 2018 — CScms 4.1 allows arbitrary file upload by (for example) adding the php extension to the default filetype list (gif, jpg, png), and then providing a .php pathname within fileurl JSON data. CScms 4.1 permite la subida de archivos arbitrarios añadiendo (por ejemplo) la extensión php a la lista de tipos de archivo por defecto (gif, jpg, png) y después proporcionando un nombre de ruta .php en los datos JSON fileurl. • https://github.com/AvaterXXX/CScms/blob/master/CScms_up.md • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-16732
https://notcve.org/view.php?id=CVE-2018-16732
08 Sep 2018 — \upload\plugins\sys\admin\Setting.php in CScms 4.1 allows CSRF via admin.php/setting/ftp_save. \upload\plugins\sys\admin\Setting.php en CScms 4.1 permite Cross-Site Request Forgery (CSRF) mediante admin.php/setting/ftp_save. • https://github.com/AvaterXXX/CScms/blob/master/CScms_csrf.md • CWE-352: Cross-Site Request Forgery (CSRF) •