CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-46468
https://notcve.org/view.php?id=CVE-2024-46468
11 Oct 2024 — A Server-Side Request Forgery (SSRF) vulnerability exists in the jpress <= v5.1.1, which can be exploited by an attacker to obtain sensitive information, resulting in an information disclosure. • https://gist.github.com/ilikeoyt/b396bbb9ef858105c46e999630e7afbe • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 1CVE-2024-8304 – jpress Template Module edit path traversal
https://notcve.org/view.php?id=CVE-2024-8304
29 Aug 2024 — A vulnerability has been found in jpress up to 5.1.1 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /admin/template/edit of the component Template Module Handler. The manipulation leads to path traversal. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. • https://github.com/JPressProjects/jpress/issues/189 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-43033
https://notcve.org/view.php?id=CVE-2024-43033
22 Aug 2024 — JPress through 5.1.1 on Windows has an arbitrary file upload vulnerability that could cause arbitrary code execution via ::$DATA to AttachmentController, such as a .jsp::$DATA file to io.jpress.web.commons.controller.AttachmentController#upload. NOTE: this is unrelated to the attack vector for CVE-2024-32358. • https://cwe.mitre.org/data/definitions/69.html • CWE-69: Improper Handling of Windows ::DATA Alternate Data Stream •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-32358
https://notcve.org/view.php?id=CVE-2024-32358
25 Apr 2024 — An issue in Jpress v.5.1.0 allows a remote attacker to execute arbitrary code via a crafted script to the custom plug-in module function. Un problema en Jpress v.5.1.0 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función del módulo de complemento personalizado. An issue in Jpress v.5.1.0 allows a remote attacker to execute arbitrary code via a crafted script to the custom plug-in module function, a different vulnerability than CVE-2024-43033. • https://gist.github.com/rootlili/a6b6c89591f4773857ae81b7ca5898bc •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-23330
https://notcve.org/view.php?id=CVE-2022-23330
04 Feb 2022 — A remote code execution (RCE) vulnerability in HelloWorldAddonController.java of jpress v4.2.0 allows attackers to execute arbitrary code via a crafted JAR package. Una vulnerabilidad de ejecución de código remota (RCE) en el archivo HelloWorldAddonController.java de jpress versión v4.2.0, permite a atacantes ejecutar código arbitrario por medio de un paquete JAR diseñado • https://gitee.com/JPressProjects/jpress/issues/I4QZZ8 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-46114
https://notcve.org/view.php?id=CVE-2021-46114
26 Jan 2022 — jpress v 4.2.0 is vulnerable to RCE via io.jpress.module.product.ProductNotifyKit#doSendEmail. The admin panel provides a function through which attackers can edit the email templates and inject some malicious code. jpress versión 4.2.0 es vulnerable a RCE por medio de io.jpress.module.product.ProductNotifyKit#doSendEmail. El panel de administración proporciona una función mediante la cual los atacantes pueden editar las plantillas de correo electrónico e inyectar algún código malicioso • http://jpress.com • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2021-46115
https://notcve.org/view.php?id=CVE-2021-46115
26 Jan 2022 — jpress 4.2.0 is vulnerable to RCE via io.jpress.web.admin._TemplateController#doUploadFile. The admin panel provides a function through which attackers can upload templates and inject some malicious code. jpress versión 4.2.0, es vulnerable a RCE por medio de io.jpress.web.admin._TemplateController#doUploadFile. El panel de administración proporciona una función mediante la cual los atacantes pueden subir plantillas e inyectar algún código malicioso • http://jpress.com • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.2EPSS: 2%CPEs: 1EXPL: 1CVE-2021-46116
https://notcve.org/view.php?id=CVE-2021-46116
26 Jan 2022 — jpress 4.2.0 is vulnerable to remote code execution via io.jpress.web.admin._TemplateController#doInstall. The admin panel provides a function through which attackers can install templates and inject some malicious code. jpress versión 4.2.0, es vulnerable a una ejecución de código remota por medio de io.jpress.web.admin._TemplateController#doInstall. El panel de administración proporciona una función mediante la cual los atacantes pueden instalar plantillas e inyectar algún código malicioso • http://jpress.com • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.2EPSS: 2%CPEs: 1EXPL: 1CVE-2021-46118
https://notcve.org/view.php?id=CVE-2021-46118
26 Jan 2022 — jpress 4.2.0 is vulnerable to remote code execution via io.jpress.module.article.kit.ArticleNotifyKit#doSendEmail. The admin panel provides a function through which attackers can edit the email templates and inject some malicious code. jpress versión 4.2.0 es vulnerable a una ejecución de código remota por medio de io.jpress.module.article.kit.ArticleNotifyKit#doSendEmail. El panel de administración proporciona una función mediante la cual los atacantes pueden editar las plantillas de correo electrónico e i... • http://jpress.com • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.2EPSS: 3%CPEs: 1EXPL: 1CVE-2021-46117
https://notcve.org/view.php?id=CVE-2021-46117
26 Jan 2022 — jpress 4.2.0 is vulnerable to remote code execution via io.jpress.module.page.PageNotifyKit#doSendEmail. The admin panel provides a function through which attackers can edit the email templates and inject some malicious code. jpress versión 4.2.0 es vulnerable a una ejecución de código remota por medio de io.jpress.module.page.PageNotifyKit#doSendEmail. El panel de administración proporciona una función mediante la cual atacantes pueden editar las plantillas de correo electrónico e inyectar código malicioso • http://jpress.com • CWE-94: Improper Control of Generation of Code ('Code Injection') •