CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-19954
https://notcve.org/view.php?id=CVE-2020-19954
14 Oct 2021 — An XML External Entity (XXE) vulnerability was discovered in /api/notify.php in S-CMS 3.0 which allows attackers to read arbitrary files. Se ha detectado una vulnerabilidad de tipo XML External Entity (XXE) en el archivo /api/notify.php en S-CMS versión 3.0, que permite a atacantes leer archivos arbitrarios • https://github.com/zhuxianjin/vuln_repo/blob/master/S-CMS%20v3.0%20XXE%20Arbitrary%20File%20Read%20Vulnerability.md • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20701
https://notcve.org/view.php?id=CVE-2020-20701
27 Jul 2021 — A stored cross site scripting (XSS) vulnerability in /app/config/of S-CMS PHP v3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload. Una vulnerabilidad de tipo cross site scripting (XSS) almacenado en /app/config/de S-CMS PHP versión v3.0 permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada • https://github.com/Peithon/site_XSS/blob/master/readme.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20700
https://notcve.org/view.php?id=CVE-2020-20700
27 Jul 2021 — A stored cross site scripting (XSS) vulnerability in /app/form_add/of S-CMS PHP v3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the Title Entry text box. Una vulnerabilidad de tipo cross site scripting (XSS) almacenado en /app/form_add/de S-CMS PHP versión v3.0, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el cuadro de texto Title Entry • https://github.com/Peithon/recycle_XSS/blob/master/readme.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20699
https://notcve.org/view.php?id=CVE-2020-20699
27 Jul 2021 — A cross site scripting (XSS) vulnerability in S-CMS PHP v3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered into the Copyright text box under Basic Settings. Una vulnerabilidad de tipo cross site scripting (XSS) en S-CMS PHP versión v3.0, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada introducida en el cuadro de texto Copyright en Basic Settings • https://github.com/Peithon/xss/blob/master/readme.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20698
https://notcve.org/view.php?id=CVE-2020-20698
27 Jul 2021 — A remote code execution (RCE) vulnerability in /1.com.php of S-CMS PHP v3.0 allows attackers to getshell via modification of a PHP file. Una vulnerabilidad de ejecución de código remota (RCE) en el archivo /1.com.php de S-CMS PHP versión v3.0, permite a atacantes obtener un getshell por medio de la modificación de un archivo PHP • https://github.com/Peithon/vul/blob/master/readme.md • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-16312
https://notcve.org/view.php?id=CVE-2019-16312
14 Sep 2019 — s-cms V3.0 has XSS in index.php?type=text via the S_id parameter. s-cms versión V3.0, presenta una vulnerabilidad de tipo XSS en index.php?type=text por medio del parámetro S_id. • http://www.iwantacve.cn/index.php/archives/320 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-9040
https://notcve.org/view.php?id=CVE-2019-9040
23 Feb 2019 — S-CMS PHP v3.0 has a CSRF vulnerability to add a new admin user via the admin/ajax.php?type=admin&action=add URI, a related issue to CVE-2018-19332. S-CMS PHP v3.0 tiene una vulnerabilidad Cross-Site Request Forgery (CSRF) para añadir un nuevo usuario administrador mediante el URI admin/ajax.php?type=adminaction=add. Este problema está relacionado con CVE-2018-19332. • http://www.iwantacve.cn/index.php/archives/113 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-6805
https://notcve.org/view.php?id=CVE-2019-6805
25 Jan 2019 — SQL Injection was found in S-CMS version V3.0 via the alipay/alipayapi.php O_id parameter. Se ha detectado una inyección SQL en la versión V3.0 de S-CMS mediante el parámetro O_id en alipay/alipayapi.php. • https://github.com/0FuzzingQ/vuln/blob/master/s-cms • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20477
https://notcve.org/view.php?id=CVE-2018-20477
26 Dec 2018 — An issue was discovered in S-CMS 3.0. It allows SQL Injection via the bank/callback1.php P_no field. Se ha descubierto un problema en S-CMS 3.0. Permite la inyección SQL mediante el campo P_no en bank/callback1.php. • https://shell01.top/2018/12/18/scms-sqlinject • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-20476
https://notcve.org/view.php?id=CVE-2018-20476
26 Dec 2018 — An issue was discovered in S-CMS 3.0. It allows XSS via the admin/demo.php T_id parameter. Se ha descubierto un problema en S-CMS 3.0. Permite Cross-Site Scripting (XSS) mediante el parámetro T_id en admin/demo.php. • https://shell01.top/2018/12/14/scms-xss/#more • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •