Cuppacms
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.45769
Распределение по критичности
Критический
8
Высокий
12
Средний
5
Низкий
0
Затронутые диапазоны версий
< 2018-09-04< 2018-11-12< 2019-11-12< 31\/jan\/2021≤ 2019-11-12
Также сопоставлено как (исходные строки): cuppacms
Топ уязвимостей
CVE-2023-47990Уязвимость SQL Injection в components/table_manager/html/edit_admin_table.php в CuppaCMS V1.0 позволяет злоумышленникам выполнять произвольные SQL-команды через параметр table.
CVE-2023-39681Обнаружено, что Cuppa CMS v1.0 содержит уязвимость удаленного выполнения кода (RCE) через параметр email_outgoing в /Configuration.php. Эта уязвимость возникает из-за специально созданной полезной нагрузки.
CVE-2022-38296В Cuppa CMS v1.0 обнаружена уязвимость произвольной загрузки файлов через файловый менеджер.
CVE-2022-27985Было обнаружено, что CuppaCMS v1.0 содержит уязвимость SQL-инъекции через /administrator/alerts/alertLightbox.php.
CVE-2022-27984Было обнаружено, что CuppaCMS v1.0 содержит уязвимость SQL-инъекции через параметр menu_filter в /administrator/templates/default/html/windows/right.php.
CVE-2022-25498В CuppaCMS v1.0 обнаружено удаленное выполнение кода (RCE) через функцию saveConfigData в /classes/ajax/Functions.php.
CVE-2022-25495Компонент /jquery_file_upload/server/php/index.php в CuppaCMS v1.0 позволяет злоумышленникам загружать произвольные файлы и выполнять произвольный код через специально созданный PHP-файл.
CVE-2018-19559CuppaCMS до 2018-11-12 имеет SQL-инъекцию в administrator/classes/ajax/functions.php через параметр reference_id.
CVE-2022-37190CuppaCMS 1.0 уязвим для удаленного выполнения кода (RCE). Аутентифицированный пользователь может контролировать оба параметра (действие и функцию) из "/api/index.php.
CVE-2021-3376Проблема обнаружена в Cuppa CMS версий до 31 января 2021 года, позволяющая аутентифицированным злоумышленникам получать повышенные привилегии с помощью специально созданного POST-запроса, использующего параметр user_group_id_field.
CVE-2021-29368Уязвимость фиксации сессии в CuppaCMS до коммита 4c9b742b23b924cf4c1f943f48b278e06a17e297 от 12 ноября 2019 года позволяет злоумышленникам получать доступ к произвольным пользовательским сессиям.
CVE-2020-26048Опция файлового менеджера в CuppaCMS до 2019-11-12 позволяет аутентифицированному злоумышленнику загружать вредоносный файл с расширением изображения, и с помощью пользовательского запроса, используя функцию переименования, предоставляемую файловым менеджером, может изменять расширение изображения на PHP, что приводит к удаленному выполнению произвольного кода.
CVE-2022-24647Обнаружено, что Cuppa CMS v1.0 содержит уязвимость произвольного удаления файлов через функцию unlink().
CVE-2022-25486В CuppaCMS v1.0 обнаружено локальное включение файлов через параметр url в /alerts/alertConfigField.php.
CVE-2022-25485В CuppaCMS v1.0 обнаружено локальное включение файлов через параметр url в /alerts/alertLightbox.php.
CVE-2022-34121В Cuppa CMS v1.0 обнаружена уязвимость включения локальных файлов (LFI) через компонент /templates/default/html/windows/right.php.
CVE-2022-25401Функция копирования файлового менеджера в Cuppa CMS v1.0 позволяет копировать любой файл в текущий каталог, предоставляя злоумышленникам доступ на чтение произвольных файлов.
CVE-2022-24266В Cuppa CMS v1.0 обнаружена уязвимость SQL-инъекции в /administrator/components/table_manager/ через параметр order_by.
CVE-2022-24265В Cuppa CMS v1.0 обнаружена уязвимость SQL-инъекции в /administrator/components/menu/ через параметр path=component/menu/&menu_filter=3.
CVE-2022-24264В Cuppa CMS v1.0 обнаружена уязвимость SQL-инъекции в /administrator/components/table_manager/ через параметр search_word.
CVE-2022-37191Компонент "cuppa/api/index.php" CuppaCMS v1.0 уязвим для LFI. Аутентифицированный пользователь может читать системные файлы через специально созданный POST-запрос, используя значение параметра [function] в качестве полезной нагрузки LFI.
CVE-2022-38295В Cuppa CMS v1.0 обнаружена уязвимость межсайтового скриптинга по адресу /table_manager/view/cu_user_groups. Эта уязвимость позволяет злоумышленникам выполнять произвольные веб-скрипты или HTML с помощью специально созданной полезной нагрузки, внедренной в поле «Имя» в функции «Добавить новую группу».
CVE-2018-19918CuppaCMS имеет XSS через SVG-документ, загруженный в URI administrator/#/component/table_manager/view/cu_views.
CVE-2022-25497В CuppaCMS v1.0 обнаружено произвольное чтение файлов через функцию copy.
CVE-2018-17300Сохраненная XSS существует в CuppaCMS версий до 2018-09-03 через раздел administrator/#/component/table_manager/view/cu_menus name.