Mcms
Уязвимости
47
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.23694
Распределение по критичности
Критический
28
Высокий
13
Средний
5
Низкий
1
Затронутые диапазоны версий
< 5.2.10≤ 5.2.5≤ 5.3.1≤ 6.0.1
Также сопоставлено как (исходные строки): mcms
Топ уязвимостей
CVE-2025-56316В системе MCMS версии 5.5.0 (и до 6.0.1) обнаружена уязвимость SQL‑инъекции в параметре content_title эндпоинта /cms/content/list. Неочищенный ввод передаётся в шаблоны FreeMarker, позволяя выполнить произвольный SQL‑код, включая построение сложных запросов, если в базе включена опция allowMultiQueries. Эксплуатация может привести к созданию учётных записей администратора и удалённому выполнению кода. Рекомендуется обновить до версии 6.0.2 и отключить allowMultiQueries. [1] https://github.com/ming-soft/MCMS
- [2] https://gist.github.com/Erosion2020/5892757e0c6eeb647a218d1c3b323cff
CVE-2025-29287Уязвимость произвольной загрузки файлов в компоненте ueditor MCMS v5.4.3 позволяет злоумышленникам выполнить произвольный код посредством загрузки специально созданного файла [1].
Источники:
- [1] https://gitee.com/mingSoft/MCMS/issues/IBOOTX
- [2] https://gist.github.com/erdan111/38dcb5150b523436fe01249b2542f02f#file-cve-2025-29287
CVE-2023-50578В Mingsoft MCMS v5.2.9 обнаружена уязвимость SQL-инъекции через параметр categoryType в /content/list.do.
CVE-2022-4375В Mingsoft MCMS до версии 5.2.9 обнаружена уязвимость, классифицированная как критическая. Уязвима неизвестная функция файла /cms/category/list. Манипуляция аргументом sqlWhere приводит к SQL-инъекции. Атаку можно осуществить удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 5.2.10 позволяет решить эту проблему. Рекомендуется обновить уязвимый компонент. Идентификатор этой уязвимости - VDB-215196.
CVE-2022-36599В Mingsoft MCMS 5.2.8 обнаружена уязвимость SQL-инъекции в URI /mdiy/model/delete через Lists models.
CVE-2022-36272В Mingsoft MCMS 5.2.8 обнаружена уязвимость SQL-инъекции в /mdiy/page/verify URI через параметр fieldName.
CVE-2022-31943MCMS v5.2.8 содержит уязвимость произвольной загрузки файлов.
CVE-2022-30506В MCMS 5.2.7 обнаружена уязвимость произвольной загрузки файлов, позволяющая злоумышленнику выполнять произвольный код через специально созданный ZIP-файл.
CVE-2022-30048Обнаружено, что Mingsoft MCMS 5.2.7 содержит уязвимость SQL-инъекции в /mdiy/dict/list URI через параметр orderBy.
CVE-2022-30047Обнаружено, что Mingsoft MCMS v5.2.7 содержит уязвимость SQL-инъекции в /mdiy/dict/listExcludeApp URI через параметр orderBy.
CVE-2022-27466В MCMS v5.2.27 была обнаружена уязвимость SQL-инъекции в параметре orderBy в /dict/list.do.
CVE-2022-26585Было обнаружено, что Mingsoft MCMS v5.2.7 содержит уязвимость SQL-инъекции через /cms/content/list.
CVE-2022-25125В MCMS v5.2.4 обнаружена уязвимость SQL-инъекции через search.do в файле /mdiy/dict/listExcludeApp.
CVE-2022-23899Было обнаружено, что MCMS v5.2.5 содержит уязвимость SQL-инъекции через search.do в файле /web/MCmsAction.java.
CVE-2022-23898Было обнаружено, что MCMS v5.2.5 содержит уязвимость SQL-инъекции через параметр categoryId в файле IContentDao.xml.
CVE-2022-23315В MCMS v5.2.4 обнаружена уязвимость произвольной загрузки файлов через компонент /ms/template/writeFileContent.do.
CVE-2022-23314В MCMS v5.2.4 обнаружена уязвимость SQL-инъекции через /ms/mdiy/model/importJson.do.
CVE-2022-22930Уязвимость удаленного выполнения кода (RCE) в функции Template Management MCMS v5.2.4 позволяет злоумышленникам выполнять произвольный код через специально созданную полезную нагрузку.
CVE-2022-22929Обнаружено, что MCMS v5.2.4 имеет уязвимость произвольной загрузки файлов в модуле New Template, которая позволяет злоумышленникам выполнять произвольный код через специально созданный ZIP-файл.
CVE-2022-22928Обнаружено, что MCMS v5.2.4 имеет жестко запрограммированный shiro-key, что позволяет злоумышленникам использовать ключ и выполнять произвольный код.
CVE-2021-46386Уязвимость загрузки файлов в mingSoft MCMS до 5.2.5 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданную веб-оболочку jspx в net.mingsoft.basic.action.web.FileAction#upload.
CVE-2021-46384https://gitee.com/mingSoft/MCMS MCMS <=5.2.5 подвержен: RCE. Воздействие: выполнение произвольного кода (удаленно). Вектор атаки: ${"freemarker.template.utility.Execute"?new()("calc")}. ¶¶ MCMS имеет pre-auth RCE уязвимость, через которую позволяет неаутентифицированному злоумышленнику с сетевым доступом через http скомпрометировать MCMS. Успешные атаки этой уязвимости могут привести к захвату MCMS.
CVE-2021-46036Уязвимость произвольной загрузки файлов в компоненте /ms/file/uploadTemplate.do MCMS v5.2.4 позволяет злоумышленникам выполнять произвольный код.
CVE-2021-44868Обнаружена проблема в ming-soft MCMS v5.1. Существует уязвимость SQL-инъекции в /ms/cms/content/list.do.
CVE-2020-23262В ming-soft MCMS v5.0 обнаружена проблема, когда злоумышленник может использовать SQL-инъекцию без входа в систему через /mcms/view.do.