CVSS: 9.8EPSS: 18%CPEs: 1EXPL: 5CVE-2020-35314 – WonderCMS 3.1.3 - Authenticated Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-35314
A remote code execution vulnerability in the installUpdateThemePluginAction function in index.php in WonderCMS 3.1.3, allows remote attackers to upload a custom plugin which can contain arbitrary code and obtain a webshell via the theme/plugin installer. Una vulnerabilidad de ejecución remota de código en la función installUpdateThemePluginAction en index.php en WonderCMS versión 3.1.3, permite a los atacantes remotos cargar un plugin personalizado que puede contener código arbitrario y obtener un webshell a través del instalador de temas/plugins • https://www.exploit-db.com/exploits/49155 https://github.com/AkashLingayat/WonderCMS-CVE-2020-35314 https://github.com/robiso/wondercms https://packetstormsecurity.com/files/160311/WonderCMS-3.1.3-Remote-Code-Execution.html https://zetc0de.github.io/post/authenticated-rce-ssrf-wondercms https://zetc0de.github.io/post/authenticated-rce-ssrf-wondercms/#authenticated-remote-code-execution • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.8EPSS: 11%CPEs: 1EXPL: 3CVE-2020-35313 – WonderCMS 3.1.3 - Authenticated SSRF to Remote Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-35313
A server-side request forgery (SSRF) vulnerability in the addCustomThemePluginRepository function in index.php in WonderCMS 3.1.3 allows remote attackers to execute arbitrary code via a crafted URL to the theme/plugin installer. Una vulnerabilidad de server-side request forgery (SSRF) en la función addCustomThemePluginRepository en el archivo index.php en WonderCMS versión 3.1.3 permite a atacantes remotos ejecutar código arbitrario por medio de una URL diseñada para el instalador de theme/plugin • https://www.exploit-db.com/exploits/49154 https://github.com/robiso/wondercms https://packetstormsecurity.com/files/160310/WonderCMS-3.1.3-Code-Execution-Server-Side-Request-Forgery.html https://zetc0de.github.io/post/authenticated-rce-ssrf-wondercms • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-29233 – WonderCMS 3.1.3 - 'content' Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-29233
WonderCMS 3.1.3 is affected by cross-site scripting (XSS) in the Page description component. This vulnerability can allow an attacker to inject the XSS payload in the Page description and each time any user will visits the website, the XSS triggers and attacker can steal the cookie according to the crafted payload. WonderCMS versión 3.1.3, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en el componente Page description. Esta vulnerabilidad puede permitir a un atacante inyectar una carga útil de tipo XSS en la Page description y cada vez que un usuario visita el sitio web, el XSS se desencadena y el atacante puede ser capaz de robar la cookie de acuerdo a la carga útil diseñada. • https://www.exploit-db.com/exploits/49085 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-29469 – WonderCMS 3.1.3 - 'Menu' Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-29469
WonderCMS 3.1.3 is affected by cross-site scripting (XSS) in the Menu component. This vulnerability can allow an attacker to inject the XSS payload in the Setting - Menu and each time any user will visits the website directory, the XSS triggers and attacker can steal the cookie according to the crafted payload. WonderCMS versión 3.1.3, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en el componente Menu. Esta vulnerabilidad puede permitir a un atacante inyectar una carga útil de tipo XSS en el Menu Setting y cada vez que un usuario visita el directorio del sitio web, el XSS se desencadena y el atacante puede ser capaz de robar la cookie de acuerdo a la carga útil diseñada. • https://www.exploit-db.com/exploits/49164 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29247
https://notcve.org/view.php?id=CVE-2020-29247
WonderCMS 3.1.3 is affected by cross-site scripting (XSS) in the Admin Panel. An attacker can inject the XSS payload in Page keywords and each time any user will visit the website, the XSS triggers, and the attacker can able to steal the cookie according to the crafted payload. WonderCMS versión 3.1.3, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en el Panel Admin. Un atacante puede inyectar la carga útil XSS en las palabras clave de la Página y cada vez que algún usuario visita el sitio web, activa el ataque XSS y el atacante es capaz de robar la cookie de acuerdo con la carga útil diseñada • http://wondercms.com https://systemweakness.com/cve-2020-29247-wondercms-3-1-3-page-persistent-cross-site-scripting-3dd2bb210beb https://www.exploit-db.com/exploits/49102 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •