Movabletype-opensource
Уязвимости
28
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.75029
Распределение по критичности
Критический
2
Высокий
8
Средний
17
Низкий
1
Также сопоставлено как (исходные строки): movabletype-opensource
Топ уязвимостей
CVE-2022-38078Movable Type XMLRPC API, предоставляемый Six Apart Ltd., содержит уязвимость внедрения команд. Отправка специально созданного сообщения методом POST в Movable Type XMLRPC API может позволить выполнить произвольный скрипт Perl, а через него может быть выполнена произвольная команда OS. Уязвимые продукты и версии следующие: Movable Type 7 r.5202 и более ранние, Movable Type Advanced 7 r.5202 и более ранние, Movable Type 6.8.6 и более ранние, Movable Type Advanced 6.8.6 и более ранние, Movable Type Premium 1.52 и более ранние, и Movable Type Premium Advanced 1.52 и более ранние. Обратите внимание, что все версии Movable Type 4.0 или более поздние, включая неподдерживаемые (End-of-Life, EOL) версии, также подвержены этой уязвимости.
CVE-2016-5742Уязвимость SQL-инъекции в интерфейсе XML-RPC в Movable Type Pro и Advanced 6.x до 6.1.3 и 6.2.x до 6.2.6 и Movable Type Open Source 5.2.13 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2020-5577Серия Movable Type (Movable Type 7 r.4606 (7.2.1) и более ранние версии (Movable Type 7), Movable Type Advanced 7 r.4606 (7.2.1) и более ранние версии (Movable Type Advanced 7), Movable Type for AWS 7 r.4606 (7.2.1) и более ранние версии (Movable Type for AWS 7), Movable Type 6.5.3 и более ранние версии (Movable Type 6.5), Movable Type Advanced 6.5.3 и более ранние версии (Movable Type Advanced 6.5), Movable Type 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Advanced 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Premium 1.29 и более ранние версии и Movable Type Premium Advanced 1.29 и более ранние версии) позволяет удаленным аутентифицированным злоумышленникам загружать произвольные файлы и выполнять php-скрипт через неуказанные векторы.
CVE-2020-5576Уязвимость межсайтовой подделки запросов (CSRF) в серии Movable Type (Movable Type 7 r.4606 (7.2.1) и более ранние версии (Movable Type 7), Movable Type Advanced 7 r.4606 (7.2.1) и более ранние версии (Movable Type Advanced 7), Movable Type for AWS 7 r.4606 (7.2.1) и более ранние версии (Movable Type for AWS 7), Movable Type 6.5.3 и более ранние версии (Movable Type 6.5), Movable Type Advanced 6.5.3 и более ранние версии (Movable Type Advanced 6.5), Movable Type 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Advanced 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Premium 1.29 и более ранние версии и Movable Type Premium Advanced 1.29 и более ранние версии) позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов через неуказанные векторы.
CVE-2015-1592Movable Type Pro, Open Source и Advanced до версии 5.2.12, а также Pro и Advanced 6.0.x до версии 6.0.7 неправильно используют функцию Perl Storable::thaw, что позволяет удаленным злоумышленникам включать и выполнять произвольные локальные Perl-файлы и, возможно, выполнять произвольный код через неуказанные векторы.
CVE-2015-0845Уязвимость формата строки в Movable Type Pro, Open Source и Advanced версий до 5.2.13 и Pro и Advanced 6.0.x до 6.0.8 позволяет удаленным злоумышленникам выполнить произвольный код через векторы, связанные с локализацией шаблонов.
CVE-2014-9057SQL-инъекция в интерфейсе XML-RPC в Movable Type до версий 5.18, 5.2.x до 5.2.11 и 6.x до 6.0.6 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неуказанные векторы.
CVE-2013-2184Movable Type до версии 5.2.6 неправильно использует функцию Storable::thaw, что позволяет удаленным злоумышленникам выполнять произвольный код через параметр comment_state.
CVE-2013-0209lib/MT/Upgrade.pm в mt-upgrade.cgi в Movable Type 4.2x и 4.3x до 4.38 не требует аутентификации для запросов к функциям миграции базы данных, что позволяет удаленным злоумышленникам проводить атаки с внедрением eval и атаки SQL-инъекций через специально созданные параметры, как продемонстрировано атакой с внедрением eval против функции core_drop_meta_for_table, приводящей к выполнению произвольного кода Perl.
CVE-2012-0320Movable Type до версий 4.38, 5.0x до 5.07 и 5.1x до 5.13 позволяет удаленным злоумышленникам получать контроль над сессиями через неуказанные векторы, связанные с (1) функцией комментирования и (2) скриптом сообщества.
CVE-2012-0317Множественные уязвимости межсайтовой подделки запросов (CSRF) в Movable Type до версий 4.38, 5.0x до 5.07 и 5.1x до 5.13 позволяют удаленным злоумышленникам перехватывать аутентификацию произвольных пользователей для запросов, которые изменяют данные через (1) функцию комментирования или (2) скрипт сообщества.
CVE-2012-0319Система управления файлами в Movable Type до версий 4.38, 5.0x до 5.07 и 5.1x до 5.13 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды, используя функцию загрузки файлов, что связано с проблемой "OS Command Injection".
CVE-2021-20815Уязвимость межсайтового скриптинга на экране Edit Boilerplate в Movable Type (Movable Type 7 r.4903 и более ранние версии (серия Movable Type 7), Movable Type 6.8.0 и более ранние версии (серия Movable Type 6), Movable Type Advanced 7 r.4903 и более ранние версии (серия Movable Type Advanced 7), Movable Type Premium 1.44 и более ранние версии и Movable Type Premium Advanced 1.44 и более ранние версии) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20814Уязвимость межсайтового скриптинга на экране настроек плагина ContentType Information Widget в Movable Type (Movable Type 7 r.4903 и более ранние версии (серия Movable Type 7), Movable Type Advanced 7 r.4903 и более ранние версии (серия Movable Type Advanced 7) и Movable Type Premium 1.44 и более ранние версии) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20813Уязвимость межсайтового скриптинга на экране редактирования данных контента в Movable Type (Movable Type 7 r.4903 и более ранние версии (серия Movable Type 7) и Movable Type Advanced 7 r.4903 и более ранние версии (серия Movable Type Advanced 7)) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20812Уязвимость межсайтового скриптинга в Setting screen Server Sync Movable Type (Movable Type Advanced 7 r.4903 и более ранних версий (Movable Type Advanced 7 Series) и Movable Type Premium Advanced 1.44 и более ранних версий) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20811Уязвимость межсайтового скриптинга в List of Assets screen Movable Type (Movable Type 7 r.4903 и более ранних версий (Movable Type 7 Series), Movable Type 6.8.0 и более ранних версий (Movable Type 6 Series), Movable Type Advanced 7 r.4903 и более ранних версий (Movable Type Advanced 7 Series), Movable Type Premium 1.44 и более ранних версий и Movable Type Premium Advanced 1.44 и более ранних версий) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20810Уязвимость межсайтового скриптинга в Website Management screen Movable Type (Movable Type 7 r.4903 и более ранних версий (Movable Type 7 Series), Movable Type 6.8.0 и более ранних версий (Movable Type 6 Series), Movable Type Advanced 7 r.4903 и более ранних версий (Movable Type Advanced 7 Series), Movable Type Premium 1.44 и более ранних версий и Movable Type Premium Advanced 1.44 и более ранних версий) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20809Уязвимость межсайтового скриптинга в Create screens of Entry, Page и Content Type Movable Type (Movable Type 7 r.4903 и более ранних версий (Movable Type 7 Series), Movable Type 6.8.0 и более ранних версий (Movable Type 6 Series), Movable Type Advanced 7 r.4903 и более ранних версий (Movable Type Advanced 7 Series), Movable Type Premium 1.44 и более ранних версий и Movable Type Premium Advanced 1.44 и более ранних версий) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2021-20808Уязвимость межсайтового скриптинга в Search screen Movable Type (Movable Type 7 r.4903 и более ранних версий (Movable Type 7 Series), Movable Type 6.8.0 и более ранних версий (Movable Type 6 Series), Movable Type Advanced 7 r.4903 и более ранних версий (Movable Type Advanced 7 Series), Movable Type Premium 1.44 и более ранних версий и Movable Type Premium Advanced 1.44 и более ранних версий) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2020-5575Уязвимость межсайтового скриптинга в серии Movable Type (Movable Type 7 r.4606 (7.2.1) и более ранние версии (Movable Type 7), Movable Type Advanced 7 r.4606 (7.2.1) и более ранние версии (Movable Type Advanced 7), Movable Type for AWS 7 r.4606 (7.2.1) и более ранние версии (Movable Type for AWS 7), Movable Type 6.5.3 и более ранние версии (Movable Type 6.5), Movable Type Advanced 6.5.3 и более ранние версии (Movable Type Advanced 6.5), Movable Type 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Advanced 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Premium 1.29 и более ранние версии и Movable Type Premium Advanced 1.29 и более ранние версии) позволяет удаленным злоумышленникам внедрять произвольный скрипт или HTML через неуказанные векторы.
CVE-2020-5528Уязвимость межсайтового скриптинга в серии Movable Type (Movable Type 7 r.4603 и более ранние версии (Movable Type 7), Movable Type 6.5.2 и более ранние версии (Movable Type 6.5), Movable Type Advanced 7 r.4603 и более ранние версии (Movable Type Advanced 7), Movable Type Advanced 6.5.2 и более ранние версии (Movable Type Advanced 6.5), Movable Type Premium 1.26 и более ранние версии (Movable Type Premium) и Movable Type Premium Advanced 1.26 и более ранние версии (Movable Type Premium Advanced)) позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML в блочный редактор и редактор форматированного текста через специально созданный URL.
CVE-2020-5574Уязвимость внедрения значения HTML-атрибута в серии Movable Type (Movable Type 7 r.4606 (7.2.1) и более ранние версии (Movable Type 7), Movable Type Advanced 7 r.4606 (7.2.1) и более ранние версии (Movable Type Advanced 7), Movable Type for AWS 7 r.4606 (7.2.1) и более ранние версии (Movable Type for AWS 7), Movable Type 6.5.3 и более ранние версии (Movable Type 6.5), Movable Type Advanced 6.5.3 и более ранние версии (Movable Type Advanced 6.5), Movable Type 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Advanced 6.3.11 и более ранние версии (Movable Type 6.3), Movable Type Premium 1.29 и более ранние версии и Movable Type Premium Advanced 1.29 и более ранние версии) позволяет удаленным злоумышленникам внедрять произвольное значение HTML-атрибута через неуказанные векторы.
CVE-2014-0977Уязвимость межсайтового скриптинга (XSS) в Rich Text Editor в Movable Type 5.0x, 5.1x до 5.161, 5.2.x до 5.2.9 и 6.0.x до 6.0.1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2012-1262Уязвимость межсайтового скриптинга (XSS) в cgi-bin/mt/mt-wizard.cgi в Movable Type до 4.38, 5.0x до 5.07 и 5.1x до 5.13, когда продукт установлен не полностью, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр dbuser, что является другой уязвимостью, чем CVE-2012-0318.