Fuel Cms
Уязвимости
40
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.90044
Распределение по критичности
Критический
11
Высокий
15
Средний
14
Низкий
0
Затронутые диапазоны версий
≤ 1.4.12≤ 1.4.2≤ 1.4.4≤ 1.5.0
Также сопоставлено как (исходные строки): fuel_cms,dwoo
Топ уязвимостей
CVE-2026-30457Проблема в компоненте /parser/dwoo компании Daylight Studio FuelCMS v1.5.2 позволяет злоумышленникам выполнять произвольный код с помощью созданного PHP-кода.
CVE-2021-38727FUEL CMS 1.5.0 допускает SQL-инъекцию через параметр 'col' в /fuel/index.php/fuel/logs/items.
CVE-2020-26167В FUEL CMS 11.4.12 и более ранних версиях функция предварительного просмотра страницы позволяет анонимному пользователю получить полное право собственности на любую учетную запись, включая учетную запись администратора.
CVE-2020-26045FUEL CMS 1.4.11 допускает SQL-инъекцию через параметр 'name' в /fuel/permissions/create/. Эксплуатация этой уязвимости может позволить злоумышленнику скомпрометировать приложение, получить доступ или изменить данные, или использовать скрытые уязвимости в базовой базе данных.
CVE-2020-24791FUEL CMS 1.4.8 допускает SQL-инъекцию через параметр 'fuel_replace_id' в pages/replace/1. Эксплуатация этой проблемы может позволить злоумышленнику скомпрометировать приложение, получить доступ к данным или изменить их, или использовать скрытые уязвимости в базовой базе данных.
CVE-2020-22153Уязвимость загрузки файлов в FUEL-CMS v.1.4.6 позволяет удаленному злоумышленнику выполнять произвольный код через специально созданный .php-файл в параметр загрузки в функции навигации.
CVE-2020-22151Уязвимость разрешений в Fuel-CMS v.1.4.6 позволяет удаленному злоумышленнику выполнять произвольный код через специально созданный zip-файл в параметр assests функции загрузки.
CVE-2020-17463FUEL CMS 1.4.7 допускает SQL-инъекцию через параметр col в /pages/items, /permissions/items или /navigation/items.
CVE-2018-16763FUEL CMS 1.4.1 позволяет выполнять оценку кода PHP через параметр фильтра pages/select/ или параметр данных preview/. Это может привести к удаленному выполнению кода перед аутентификацией.
CVE-2018-16762FUEL CMS 1.4.1 позволяет выполнять SQL-инъекции через параметр layout, published или search_term в pages/items.
CVE-2026-30458Проблема в Daylight Studio FuelCMS v1.5.2 позволяет злоумышленникам эксфильтровать токены сброса паролей пользователей с помощью атаки на разделение почты.
CVE-2026-30460Было обнаружено, что Daylight Studio FuelCMS v1.5.2 содержит аутентифицированную уязвимость удаленного выполнения кода (RCE) в модуле Blocks.
CVE-2023-33557Обнаружено, что Fuel CMS v1.5.2 содержит уязвимость SQL-инъекции через параметр id в /controllers/Blocks.php.
CVE-2021-44117Уязвимость межсайтовой подделки запросов (CSRF) существует в TheDayLightStudio Fuel CMS 1.5.0 через POST-вызов к /fuel/sitevariables/delete/4.
CVE-2021-38723FUEL CMS 1.5.0 допускает SQL-инъекцию через параметр 'col' в /fuel/index.php/fuel/pages/items.
CVE-2021-36570Уязвимость Cross Site Request Forgery в FUEL-CMS 1.4.13 позволяет удаленным злоумышленникам выполнять произвольный код через post ID в /permissions/delete/2---.
CVE-2021-36569Уязвимость Cross Site Request Forgery в FUEL-CMS 1.4.13 позволяет удаленным злоумышленникам выполнять произвольный код через post ID в /users/delete/2.
CVE-2020-24950Уязвимость SQL Injection в файле Base_module_model.php в Daylight Studio FUEL-CMS версии 1.4.9 позволяет удаленным злоумышленникам выполнять произвольный код через параметр col в функции list_items.
CVE-2020-23722Проблема обнаружена в FUEL CMS 1.4.7. Существует уязвимость повышения привилегий для получения прав супер администратора через параметры "id" и "fuel_id".
CVE-2019-15229FUEL CMS 1.4.4 имеет CSRF в разделе блоков/создания/Создания блоков консоли администратора. Это может привести к тому, что злоумышленник обманом заставит администратора выполнить произвольный код через специально созданную HTML-страницу.
CVE-2018-20188FUEL CMS 1.4.3 имеет CSRF через users/create/ для добавления учетной записи администратора.
CVE-2018-16416Уязвимость межсайтовой подделки запросов (CSRF) в my_profile/edit?inline= в FUEL CMS 1.4 позволяет удаленным злоумышленникам изменять пароль администратора.
CVE-2026-30461Было обнаружено, что Daylight Studio FuelCMS v1.5.2 содержит аутентифицированную уязвимость удаленного выполнения кода (RCE) через /controllers/Installer.php и функцию add_git_submodule.
CVE-2021-38290Уязвимость атаки с использованием заголовка хоста существует в FUEL CMS 1.5.0 через fuel/modules/fuel/config/fuel_constants.php и fuel/modules/fuel/libraries/Asset.php. Злоумышленник может использовать атаку «человек посередине», такую как фишинг.
CVE-2026-30463Было обнаружено, что Daylight Studio FuelCMS v1.5.2 содержит уязвимость инъекций SQL через компонент /controllers/Login.php.