CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2023-45909
https://notcve.org/view.php?id=CVE-2023-45909
18 Oct 2023 — zzzcms v2.2.0 was discovered to contain an open redirect vulnerability. Se descubrió que zzzcms v2.2.0 contenía una vulnerabilidad de redireccionamiento abierto. • https://github.com/Num-Nine/CVE/issues/7 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 9.8EPSS: 40%CPEs: 1EXPL: 1CVE-2022-23881
https://notcve.org/view.php?id=CVE-2022-23881
23 Mar 2022 — ZZZCMS zzzphp v2.1.0 was discovered to contain a remote command execution (RCE) vulnerability via danger_key() at zzz_template.php. Se ha detectado que ZZZCMS zzzphp versión v2.1.0, contiene una vulnerabilidad de ejecución de comandos remota (RCE) por medio de la función danger_key() en el archivo zzz_template.php • https://github.com/metaStor/Vuls/blob/main/zzzcms/zzzphp%20V2.1.0%20RCE/zzzphp%20V2.1.0%20RCE.md •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2021-32605
https://notcve.org/view.php?id=CVE-2021-32605
11 May 2021 — zzzcms zzzphp before 2.0.4 allows remote attackers to execute arbitrary OS commands by placing them in the keys parameter of a ?location=search URI, as demonstrated by an OS command within an "if" "end if" block. zzzcms zzzphp versiones anteriores a 2.0.4, permite a atacantes remotos ejecutar comandos arbitrarios del Sistema Operativo al colocarlos en el parámetro keys de un URI ?location=search, como es demostrado por un comando del Sistema Operativo dentro de un bloque "if" "end if" • http://www.zzzcms.com/a/news/31_282_1.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-24877
https://notcve.org/view.php?id=CVE-2020-24877
15 Mar 2021 — A SQL injection vulnerability in zzzphp v1.8.0 through /form/index.php?module=getjson may lead to a possible access restriction bypass. Una vulnerabilidad de inyección SQL en zzzphp versión v1.8.0, por medio de /form/index.php?module=getjson puede conllevar a una posible omisión de restricción de acceso • https://github.com/h4ckdepy/zzzphp/issues/1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-18717
https://notcve.org/view.php?id=CVE-2020-18717
04 Feb 2021 — SQL Injection in ZZZCMS zzzphp 1.7.1 allows remote attackers to execute arbitrary code due to a lack of parameter filtering in inc/zzz_template.php. Una inyección SQL en ZZZCMS zzzphp versión 1.7.1, permite a atacantes remotos ejecutar código arbitrario debido a una falta de filtrado de parámetros en el archivo inc/zzz_template.php • https://www.seebug.org/vuldb/ssvid-98031 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20298
https://notcve.org/view.php?id=CVE-2020-20298
18 Dec 2020 — Eval injection vulnerability in the parserCommom method in the ParserTemplate class in zzz_template.php in zzzphp 1.7.2 allows remote attackers to execute arbitrary commands. Una vulnerabilidad de inyección Eval en el método parserCommom en la clase ParserTemplate en el archivo zzz_template.php en zzzphp versión 1.7.2, permite a atacantes remotos ejecutar comandos arbitrarios • https://y4er.com/post/zzzphp-rce • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 1CVE-2019-17408
https://notcve.org/view.php?id=CVE-2019-17408
14 Oct 2019 — parserIfLabel in inc/zzz_template.php in ZZZCMS zzzphp 1.7.3 allows remote attackers to execute arbitrary code because the danger_key function can be bypassed via manipulations such as strtr. La función parserIfLabel en el archivo inc/zzz_template.php en ZZZCMS zzzphp versión 1.7.3, permite a atacantes remotos ejecutar código arbitrario porque la función danger_key puede ser omitida mediante manipulaciones tales como strtr. • https://github.com/Tardis07/CVE_GO/blob/master/zzzphp_code_execution_v1.7.3.md • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2019-16722
https://notcve.org/view.php?id=CVE-2019-16722
23 Sep 2019 — ZZZCMS zzzphp v1.7.2 has an insufficient protection mechanism against PHP Code Execution, because passthru bypasses an str_ireplace operation. ZZZCMS zzzphp versión v1.7.2, posee un mecanismo de protección insuficiente contra la ejecución de código PHP, porque passthru omite una operación str_ireplace. • http://www.iwantacve.cn/index.php/archives/348 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-16720
https://notcve.org/view.php?id=CVE-2019-16720
23 Sep 2019 — ZZZCMS zzzphp v1.7.2 does not properly restrict file upload in plugins/ueditor/php/controller.php?upfolder=news&action=catchimage, as demonstrated by uploading a .htaccess or .php5 file. ZZZCMS zzzphp versión v1.7.2, no restringe correctamente la carga de archivos en plugins/ueditor/php/controller.php?upfolder=news&action=catchimage, como es demostrado mediante la carga de un archivo .htaccess o .php5. • http://www.iwantacve.cn/index.php/archives/333 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 1CVE-2019-10647
https://notcve.org/view.php?id=CVE-2019-10647
30 Mar 2019 — ZZZCMS zzzphp v1.6.3 allows remote attackers to execute arbitrary PHP code via a .php URL in the plugins/ueditor/php/controller.php?action=catchimage source[] parameter because of a lack of inc/zzz_file.php restrictions. For example, source%5B%5D=http%3A%2F%2F192.168.0.1%2Ftest.php can be used if the 192.168.0.1 web server sends the contents of a .php file (i.e., it does not interpret a .php file). ZZZCMS zzzphp, en su versión v1.6.3, permite a los atacantes remotos ejecutar código PHP arbitrario mediante u... • https://github.com/kyrie403/Vuln/blob/master/zzzcms/zzzphp%20v1.6.3%20write%20file%20with%20dangerous%20type.md • CWE-434: Unrestricted Upload of File with Dangerous Type •