CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-29515
https://notcve.org/view.php?id=CVE-2024-29515
25 Mar 2024 — File Upload vulnerability in lepton v.7.1.0 allows a remote authenticated attackers to execute arbitrary code via uploading a crafted PHP file to the save.php and config.php component. La vulnerabilidad de carga de archivos en lepton v.7.1.0 permite a atacantes remotos autenticados ejecutar código arbitrario cargando un archivo PHP manipulado en los componentes save.php y config.php. • https://github.com/zzq66/cve7 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-12707 – LeptonCMS 4.5.0 - Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-12707
07 May 2020 — An XSS vulnerability exists in modules/wysiwyg/save.php of LeptonCMS 4.5.0. This can be exploited because the only security measure used against XSS is the stripping of SCRIPT elements. A malicious actor can use HTML event handlers to run JavaScript instead of using SCRIPT elements. Se presenta una vulnerabilidad de tipo XSS en el archivo modules/wysiwyg/save.php de LeptonCMS versión 4.5.0. Esto puede ser explotado porque la única medida de seguridad usada contra un ataque XSS es la eliminación de elementos... • https://www.exploit-db.com/exploits/48250 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 1CVE-2012-0999
https://notcve.org/view.php?id=CVE-2012-0999
20 Feb 2012 — SQL injection vulnerability in modules/news/rss.php in LEPTON before 1.1.4 allows remote attackers to execute arbitrary SQL commands via the group_id parameter. Vulnerabilidad de inyección SQL en modules/news/rss.php en el gestor de contenidos LEPTON antes de v1.1.4 permite a atacantes remotos ejecutar comandos SQL a través del parámetro group_id. • http://www.lepton-cms.org/media/changelog/changelog_1.1.4.txt • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 1%CPEs: 4EXPL: 1CVE-2012-0998
https://notcve.org/view.php?id=CVE-2012-0998
20 Feb 2012 — Directory traversal vulnerability in account/preferences.php in LEPTON before 1.1.4 allows remote attackers to include and execute arbitrary files via a .. (dot dot) in the language parameter. Una vulnerabilidad de salto de directorio en account/preferences.php en el gestor de contenidos LEPTON antes de v1.1.4 permite a atacantes remotos incluir y ejecutar archivos de su elección a través de un .. (punto punto) en el parámetro 'language'. • http://www.lepton-cms.org/media/changelog/changelog_1.1.4.txt • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 1CVE-2012-1000
https://notcve.org/view.php?id=CVE-2012-1000
20 Feb 2012 — Multiple cross-site scripting (XSS) vulnerabilities in LEPTON 1.1.3 and other versions before 1.1.4 allow remote attackers to inject arbitrary web script or HTML via the (1) message parameter to admins/login/forgot/index.php, or the (2) display_name or (3) email parameter to account/preferences.php. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en gestor de contenidos LEPTON v1.1.3 y otras versiones antes de v1.1.4 permite a atacantes remotos inyectar secuencias de comandos we... • http://www.lepton-cms.org/media/changelog/changelog_1.1.4.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2011-3385
https://notcve.org/view.php?id=CVE-2011-3385
02 Sep 2011 — Cross-site scripting (XSS) vulnerability in WebsiteBaker before 2.8, as used in LEPTON and possibly other products, allows remote attackers to inject arbitrary web script or HTML via unknown vectors, a different vulnerability than CVE-2006-2307. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en WebsiteBaker antes de v2.8, como se usa en LEPTON y posiblemente en otros productos, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores descono... • http://jvn.jp/en/jp/JVN02134508/index.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •