Youdiancms
Уязвимости
12
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01256
Распределение по критичности
Критический
2
Высокий
3
Средний
7
Низкий
0
Затронутые диапазоны версий
9.5.0–9.5.12≤ 9.5.20
Также сопоставлено как (исходные строки): youdiancms
Топ уязвимостей
CVE-2024-57052Проблема в youdiancms v.9.5.20 и более ранних версиях позволяет удаленному злоумышленнику повысить привилегии через параметр sessionID в файле index.php.
CVE-2022-32301В YoudianCMS v9.5.0 обнаружена уязвимость SQL-инъекции через параметр IdList в /App/Lib/Action/Home/ApiAction.class.php.
CVE-2022-32300В YoudianCMS v9.5.0 обнаружена уязвимость SQL-инъекции через параметр MailSendID в /App/Lib/Action/Admin/MailAction.class.php.
CVE-2022-32299В YoudianCMS v9.5.0 обнаружена уязвимость SQL-инъекции через параметр id в /App/Lib/Action/Admin/SiteAction.class.php.
CVE-2020-18116Отсутствие фильтрации для поисковых ключевых слов в строке поиска YouDianCMS 8.0 позволяет злоумышленникам выполнять SQL-инъекции.
CVE-2024-7328В YouDianCMS 7 обнаружена уязвимость, классифицированная как проблематичная. Эта проблема затрагивает некоторую неизвестную обработку файла /t.php?action=phpinfo. Манипулирование приводит к раскрытию информации. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Связанным идентификатором этой уязвимости является VDB-273251. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2025-3533Уязвимость, которая была классифицирована как проблематиченная, была обнаружена в YouDianCMS 9.5.21. Эта проблема затрагивает некоторую неизвестную обработку файла /App/Tpl/Admin/Default/Channel/index.html.Attackers. Манипуляции с аргументом Parent приводят к написанию сценариев кросс-сайтов. Атака может быть инициирована дистанционно. Эксплойт был раскрыт общественности и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.
CVE-2025-3532Уязвимость, классифицированная как проблематие, была обнаружена в YouDianCMS 9.5.21. Эта уязвимость затрагивает неизвестный код файла /App/Tpl/Mumber/Default/Order/index.html.Attackers. Манипуляция аргументом OrderNumber приводит к написанию кросс-сайтов. Атака может быть инициирована дистанционно. Эксплойт был раскрыт общественности и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.
CVE-2025-3531Уязвимость, классифицированная как проблематие, была обнаружена в YouDianCMS 9.5.21. Это затрагивает неизвестную часть файла /App/Tpl/Admin/Default/Log/index.html. Манипуляции с аргументом UserName/LogType приводит к кросс-сайту. Можно инициировать атаку удаленно. Эксплойт был раскрыт общественности и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.
CVE-2024-7330В YouDianCMS 7 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает функцию curl_exec файла /App/Core/Extend/Function/ydLib.php. Манипулирование аргументом url приводит к подделке запроса на стороне сервера. Атаку можно запустить удаленно. Эксплойт был обнародован и может быть использован. Этой уязвимости присвоен идентификатор VDB-273253. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-7329В YouDianCMS 7 обнаружена уязвимость, классифицированная как критическая. Затронута неизвестная функция файла /Public/ckeditor/plugins/multiimage/dialogs/image_upload.php. Манипулирование аргументом files приводит к неограниченной загрузке. Атаку можно запустить удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-273252. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-3117В YouDianCMS до версии 9.5.12 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла App\Lib\Action\Admin\ChannelAction.class.php. Манипулирование аргументом file приводит к неограниченной загрузке. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. VDB-258778 – идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.