Publiccms
Уязвимости
47
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.21951
Распределение по критичности
Критический
10
Высокий
16
Средний
15
Низкий
6
Затронутые диапазоны версий
< 4.0.202011.b< 4.0.202204.d< 5.202506.b≤ 4.0.202204.a≤ 4.0.202302≤ 4.0.202302.e≤ 4.0.202506.d≤ 5.202506.d
Также сопоставлено как (исходные строки): publiccms
Топ уязвимостей
CVE-2025-25361Уязвимость загрузки произвольных файлов в компоненте /cms/CmsWebFileAdminController.java PublicCMS v4.0.202406 позволяет злоумышленникам выполнять произвольный код, загружая созданный svg или xml файл.
CVE-2023-46990Десериализация ненадежных данных в PublicCMS v.4.0.202302.e позволяет удаленному злоумышленнику выполнить произвольный код через специально созданный скрипт в функции writeReplace.
CVE-2023-34852PublicCMS <=V4.0.202302 уязвим для небезопасных разрешений.
CVE-2022-23389В PublicCMS v4.0 обнаружена уязвимость удаленного выполнения кода (RCE) через параметр cmdarray.
CVE-2021-40881Проблема в параметрах BAT-файла PublicCMS v4.0 позволяет злоумышленникам выполнять произвольный код.
CVE-2021-27693Уязвимость Server-side Request Forgery (SSRF) в PublicCMS до 4.0.202011.b через /publiccms/admin/ueditor, когда действие - catchimage.
CVE-2020-20915Уязвимость SQL-инъекции, найденная в PublicCMS v.4.0, позволяет удаленному злоумышленнику выполнять произвольный код через параметр sql в SysSiteAdminControl.
CVE-2020-20914Уязвимость SQL-инъекции, найденная в San Luan PublicCMS v.4.0, позволяет удаленному злоумышленнику выполнять произвольный код через параметр sql.
CVE-2018-12914Проблема удаленного выполнения кода обнаружена в PublicCMS V4.0.20180210. Злоумышленник может загрузить ZIP-архив, содержащий файл .jsp с путем обхода каталогов. После операции распаковки злоумышленник может выполнить произвольный код, посетив URI .jsp.
CVE-2025-65836PublicCMS V5.202506.b уязвима для SSRF. в интерфейсе чата SimpleAiAdminController.
CVE-2025-65840PublicCMS V5.202506.b уязвима для подделки запросов на пересечение сайта (CSRF) в CkEditorAdminController.
CVE-2024-40552Обнаружено, что PublicCMS v4.0.202302.e содержит уязвимость удаленного выполнения команд (RCE) через параметр cmdarray в /site/ScriptComponent.java.
CVE-2024-40551Уязвимость, позволяющая произвольную загрузку файлов в компоненте /admin/cmsTemplate/doUpload в PublicCMS v4.0.202302.e, позволяет злоумышленникам выполнять произвольный код путем загрузки специально созданного файла.
CVE-2024-40550Уязвимость, позволяющая произвольную загрузку файлов в компоненте /admin/cmsTemplate/savePlaceMetaData в Public CMS v.4.0.202302.e, позволяет злоумышленникам выполнять произвольный код путем загрузки специально созданного файла.
CVE-2024-40549Уязвимость, позволяющая произвольную загрузку файлов в компоненте /admin/cmsTemplate/savePlace в PublicCMS v4.0.202302.e, позволяет злоумышленникам выполнять произвольный код путем загрузки специально созданного файла.
CVE-2024-40548Уязвимость, позволяющая произвольную загрузку файлов в компоненте /admin/cmsTemplate/save в PublicCMS v4.0.202302.e, позволяет злоумышленникам выполнять произвольный код путем загрузки специально созданного файла.
CVE-2024-40546Уязвимость произвольной загрузки файлов в компоненте /admin/cmsWebFile/save PublicCMS v4.0.202302.e позволяет злоумышленникам выполнять произвольный код, загружая специально созданный файл.
CVE-2024-40545Уязвимость произвольной загрузки файлов в компоненте /admin/cmsWebFile/doUpload PublicCMS v4.0.202302.e позволяет злоумышленникам выполнять произвольный код, загружая специально созданный файл.
CVE-2024-40544Обнаружено, что PublicCMS v4.0.202302.e содержит Server-Side Request Forgery (SSRF) через компонент /admin/#maintenance_sysTask/edit.
CVE-2024-40543Обнаружено, что PublicCMS v4.0.202302.e содержит Server-Side Request Forgery (SSRF) через компонент /admin/ueditor?action=catchimage.
CVE-2024-31759Проблема в sanluan PublicCMS v.4.0.202302.e позволяет злоумышленнику повысить привилегии через функцию смены пароля.
CVE-2018-11500В PublicCMS V4.0.20180210 обнаружена проблема. Существует уязвимость CSRF в "admin/sysUser/save.do?callbackType=closeCurrent&navTabId=sysUser/list", которая позволяет добавить учетную запись администратора.
CVE-2025-69437PublicCMS v5.202506.d и ранее уязвим для хранения XSS. Загруженные PDF-файлы могут содержать полезную нагрузку JavaScript и обойти проверки безопасности PDF в бэкэнде CmsFileUtils.java. Если пользователь загружает PDF-файл, содержащий вредоносную полезную нагрузку, в систему и просматривает ее, может быть запущена встроенная полезная нагрузка JavaScript, что приводит к таким проблемам, как кража учетных данных, произвольное выполнение API и другие проблемы безопасности. Эта уязвимость затрагивает всю конечную точку загрузки файлов, включая /cmsTemplate/save, /file/doUpload, /cmsTemplate/doUpload, /cmsWebFile/doUpload и т.д.
CVE-2025-57516Уязвимость инъекций команды OS в PublicCMS PublicCMS-V5.202506.a и PublicCMS-V5.202506.b позволяет злоумышленникам выполнять произвольные команды с помощью созданных переменных DATABASE, USERNAME или PASSWORD в файле backupDB.bat.
CVE-2025-65838PublicCMS V5.202506.b уязвима для прохождения путей с помощью метода doUploadSitefile.