CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46366
https://notcve.org/view.php?id=CVE-2021-46366
11 Feb 2022 — An issue in the Login page of Magnolia CMS v6.2.3 and below allows attackers to exploit both an Open Redirect vulnerability and Cross-Site Request Forgery (CSRF) in order to brute force and exfiltrate users' credentials. Un problema en la página de inicio de sesión de Magnolia CMS versiones v6.2.3 y anteriores, permite a atacantes explotar tanto una vulnerabilidad de Redireccionamiento Abierto como de tipo Cross-Site Request Forgery (CSRF) con el fin de hacer fuerza bruta y exfiltrar las credenciales de los... • https://github.com/mbadanoiu/CVE-2021-46366 • CWE-352: Cross-Site Request Forgery (CSRF) CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46365
https://notcve.org/view.php?id=CVE-2021-46365
11 Feb 2022 — An issue in the Export function of Magnolia v6.2.3 and below allows attackers to execute XML External Entity attacks via a crafted XLF file. Un problema en la función de exportación de Magnolia v6.2.3 e inferior permite a los atacantes ejecutar ataques de entidad externa XML a través de un archivo XLF manipulado • https://github.com/mbadanoiu/CVE-2021-46365 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46364
https://notcve.org/view.php?id=CVE-2021-46364
11 Feb 2022 — A vulnerability in the Snake YAML parser of Magnolia CMS v6.2.3 and below allows attackers to execute arbitrary code via a crafted YAML file. Una vulnerabilidad en el analizador Snake YAML de Magnolia CMS versiones v6.2.3 y anteriores, permite a atacantes ejecutar código arbitrario por medio de un archivo YAML diseñado • https://github.com/mbadanoiu/CVE-2021-46364 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46362
https://notcve.org/view.php?id=CVE-2021-46362
11 Feb 2022 — A Server-Side Template Injection (SSTI) vulnerability in the Registration and Forgotten Password forms of Magnolia v6.2.3 and below allows attackers to execute arbitrary code via a crafted payload entered into the fullname parameter. Una vulnerabilidad de Inyección de Plantilla del Lado del Servidor (SSTI) en los formularios Registration and Forgotten Password de Magnolia versiones v6.2.3 y anteriores, permite a atacantes ejecutar código arbitrario por medio de una carga útil diseñada introducida en el pará... • https://github.com/mbadanoiu/CVE-2021-46362 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46363
https://notcve.org/view.php?id=CVE-2021-46363
11 Feb 2022 — An issue in the Export function of Magnolia v6.2.3 and below allows attackers to perform Formula Injection attacks via crafted CSV/XLS files. These formulas may result in arbitrary code execution on a victim's computer when opening the exported files with Microsoft Excel. Un problema en la función de exportación de Magnolia v6.2.3 e inferior permite a los atacantes realizar ataques de inyección de fórmulas a través de archivos CSV/XLS manipulados. Estas fórmulas pueden dar lugar a la ejecución de código arb... • https://github.com/mbadanoiu/CVE-2021-46363 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-46361
https://notcve.org/view.php?id=CVE-2021-46361
11 Feb 2022 — An issue in the Freemark Filter of Magnolia CMS v6.2.11 and below allows attackers to bypass security restrictions and execute arbitrary code via a crafted FreeMarker payload. Un problema en el filtro Freemark de Magnolia CMS versiones v6.2.11 y anteriores, permite a atacantes omitir las restricciones de seguridad y ejecutar código arbitrario por medio de una carga útil FreeMarker diseñada • https://github.com/mbadanoiu/CVE-2021-46361 •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 1CVE-2021-25894
https://notcve.org/view.php?id=CVE-2021-25894
02 Apr 2021 — Magnolia CMS from 6.1.3 to 6.2.3 contains a stored cross-site scripting (XSS) vulnerability in the /magnoliaPublic/travel/members/login.html mgnlUserId parameter. Magnolia CMS desde la versión 6.1.3 a la versión 6.2.3 contiene una vulnerabilidad de tipo cross site scripting (XSS) almacenado en el parámetro mgnlUserId del archivo /magnoliaPublic/travel/members/login.html • https://git.magnolia-cms.com/projects/MODULES/repos/public-user-registration/commits/80c096c24d39ba2050b778e68ef838d79d4811dc • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 1CVE-2021-25893
https://notcve.org/view.php?id=CVE-2021-25893
02 Apr 2021 — Magnolia CMS from 6.1.3 to 6.2.3 contains a stored cross-site scripting (XSS) vulnerability in the setText parameter of /magnoliaAuthor/.magnolia/. Magnolia CMS desde la versión 6.1.3 a la versión 6.2.3, contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en el parámetro setText del archivo /magnoliaAuthor/.magnolia/ • https://docs.magnolia-cms.com/product-docs/Releases/Release-notes-for-Magnolia-CMS-6.2.4.html#ReleasenotesforMagnoliaCMS6.2.4-Notablebugfixes • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •