CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-19461
https://notcve.org/view.php?id=CVE-2018-19461
admin\db\DoSql.php in EmpireCMS through 7.5 allows XSS via crafted SQL syntax to admin/admin.php. En el archivo admin\db\DoSql.php en EmpireCMS hasta la versión 7.5, permite XSS mediante la sintaxis SQL creada para el archivo admin/admin.php. • http://i.3001.net/uploads/Up_imgs/20181117-95a316d46f9a46dda7c48e541777d1fc.png%21small http://i.3001.net/uploads/Up_imgs/20181117-ce3d7d20372096011393bfda0d6f9d07.png%21small https://github.com/novysodope/empireCMS7.5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2018-19462
https://notcve.org/view.php?id=CVE-2018-19462
admin\db\DoSql.php in EmpireCMS through 7.5 allows remote attackers to execute arbitrary PHP code via SQL injection that uses a .php filename in a SELECT INTO OUTFILE statement to admin/admin.php. El archivo admin\db\DoSql.php en EmpireCMS hasta la versión 7.5, permite a atacantes remotos ejecutar código PHP arbitrario mediante inyección SQL que usa un nombre de archivo. php en una instrucción SELECT INTO OUTFILE para el archivo admin/admin. php. • http://i.3001.net/uploads/Up_imgs/20181118-2c996e3b89d19c9c9e6761ef67fd6d5c.png%21small http://i.3001.net/uploads/Up_imgs/20181118-87192261fa34cad723bc7d8b8ca2cd17.png http://i.3001.net/uploads/Up_imgs/20181118-ca3d385ac6cf2d231da185b4bb844bad.png%21small https://github.com/novysodope/empireCMS7.5 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12362
https://notcve.org/view.php?id=CVE-2019-12362
EmpireCMS 7.5.0 has XSS via the HTTP Referer header to e/member/doaction.php. EmpireCMS versión 7.5.0, tiene una vulnerabilidad de tipo XSS por medio del encabezado de HTTP para el archivo e/member/doaction.php. • https://github.com/coolboy0816/audit/issues/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12361
https://notcve.org/view.php?id=CVE-2019-12361
EmpireCMS 7.5.0 has XSS via the from parameter to e/member/doaction.php, as demonstrated by a CSRF payload that changes the dynamic page template. The attacker can choose to resend the e/template/member/regsend.php registered activation mail page. EmpireCMS versión 7.5.0, tiene una vulnerabilidad de tipo XSS por medio del parámetro para el archivo e/member/doaction.php, como lo demuestra una carga de tipo CSRF que cambia la plantilla de página dinámica. El atacante puede seleccionar reenviar la página de correo de activación registrada del archivo e/template/member/regsend.php. • https://github.com/coolboy0816/audit/issues/3 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-352: Cross-Site Request Forgery (CSRF) •