V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Foxcms

Уязвимости
15
Эксплуатируемые
0
Критический
4
Высокий
7

Топ продуктов

Топ уязвимостей

CVE-2025-50692FoxCMS версии <=1.2.5 уязвима к выполнению кода в admin/template_file/editFile.html. Уязвимость позволяет злоумышленнику записать веб-шелл в php-файл, редактируя файл index.html в функции шаблона [1]. Причина уязвимости: отсутствие фильтрации PHP-тегов и опасных функций в коде app\admin\controller\TemplateFile.php [2]. Источники: - [1] https://reference1.example.com/index.php/admin/template_file/editFile.html - [2] https://gist.github.com/cyb3res3c/ceacf7d560d2c8cd5ffd158abf0bfba9
CVE-2025-29306Проблема в FoxCMS v.1.2.5 позволяет удалённому злоумышленнику выполнять произвольный код через страницу отображения случая в компоненте index.html.
CVE-2025-25790Уязвимость произвольной загрузки файлов в компоненте \controller\LocalTemplate.php FoxCMS v1.2.5 позволяет злоумышленникам выполнять произвольный код через загрузку подготовленного Zip-файла.
CVE-2025-25789Обнаружена уязвимость удаленного выполнения кода (RCE) в FoxCMS v1.2.5 через метод index() в \controller\Sitemap.php.
CVE-2025-55422В FoxCMS 1.2.6 обнаружена уязвимость отражённого межсайтового скриптинга (XSS) в /index.php/plus. Злоумышленник может внедрить вредоносный код через специально сформированный запрос [1]. Рекомендуется обновить FoxCMS до более новой версии или применить соответствующие меры безопасности для предотвращения XSS-атак. Источники: - [1] http://foxcms.com - [2] https://www.notion.so/CVE-2025-55422-2222b2fd0210803c8ae8cfefeb5e9c88
CVE-2025-55420Уязвимость Reflected Cross Site Scripting (XSS) была обнаружена в /index.php в FoxCMS v1.2.6. Когда созданный скрипт отправляется через запрос GET, он отражается в несанитарии в ответе HTML. Это позволяет выполнять произвольный код JavaScript, когда зарегистрированный пользователь вводит вредоносный ввод.
CVE-2025-55409В FoxCMS версии 1.2.6 обнаружена уязвимость межсайтового скриптинга (XSS) в /index.php/article. Это позволяет злоумышленникам выполнить произвольный код. Уязвимость связана с возможностью внедрения вредоносного кода через определенные входные данные. Более подробная информация о механизме атаки и контексте содержится в источниках [1]. Источники: - [1] http://foxcms.com - [2] https://www.notion.so/CVE-2025-55409-2222b2fd0210804facb7cfe5d9db1ebd
CVE-2025-46154В Foxcms версии 1.25 и ранее обнаружена SQL-инъекция на основе времени в параметре $_POST['dbname'] файла installdb.php. Эта уязвимость позволяет получить конфиденциальную информацию через инъекцию с задержкой времени [1]. Источники: - [1] https://github.com/Yf3te/CVE/blob/main/CVE-2025-46154
CVE-2025-56630FoxCMS версии 1.2.5 и ранее содержит уязвимость SQL-инъекции через параметр column_model в файле app/admin/controller/Column.php. Злоумышленник может использовать эту уязвимость для выполнения SQL-инъекции. Источники: - [1] https://www.foxcms.cn/
CVE-2025-29181FOXCMS версии 1.25 и ранее содержит уязвимость SQL-инъекции через параметр 'title' в /admin/util/Field.php. Злоумышленники могут воспользоваться этой уязвимостью для выполнения произвольных SQL-запросов, изменения структуры базы данных и доступа к конфиденциальной информации. Проблема может быть эксплуатирована удаленно. Источники: - [1] https://gist.github.com/X1lyS/2b3f936437fb7c04b4f1e4b07468fd05
CVE-2025-29180В FOXCMS версии 1.25 и ранее файл installdb.php содержит уязвимость типа "слепая SQL-инъекция по времени". Параметры POST-запроса url_prefix, domain и my_website напрямую конкатенируются в SQL-запросы без надлежащей фильтрации. Злоумышленники могут использовать это, внедряя вредоносный SQL-код, содержащий функции задержки времени, такие как SLEEP(), через эти параметры. Наблюдая за временем ответа, злоумышленники могут получить информацию о базе данных, включая имена баз данных, структуру таблиц и другие конфиденциальные данные, что потенциально может привести к полной компрометации базы данных [1]. Источники: - [1] https://gist.github.com/X1lyS/5075ba1e6bebff26fcd58609493fd5f2
CVE-2025-56435В FoxCMS версии 1.2.6 и ранее обнаружена уязвимость SQL-инъекции, позволяющая удаленному злоумышленнику выполнить произвольный код через файл /DataBackup.php и параметр id [1]. Источники: - [1] https://www.yuque.com/g/u43151774/zhyb2o/udq6lsnv80vnhbr4/collaborator/join?token=dU5eQpE4j6zEmVuK&source=doc_collaborator
CVE-2025-5155В qianfox FoxCMS 1.2.5 обнаружена критическая уязвимость. Уязвимость затрагивает функцию batchCope файла app/admin/controller/Article.php. Манипуляции с аргументом ids приводят к SQL-инъекции. Атака может быть запущена удаленно. Эксплойт был раскрыт публично и может быть использован [1]. Источники: - [1] https://vuldb.com/?id.310243 - [2] https://vuldb.com/?ctiid.310243 - [3] https://vuldb.com/?submit.576286 - [4] https://github.com/xiaoyangsec/foxcms_sql_injection/blob/main/foxcms_sql_injection.md
CVE-2025-10251В FoxCMS версии до 1.24 обнаружена уязвимость. Подвержена функция batchCope файла /app/admin/controller/Images.php. Манипуляции с аргументом ids приводят к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт теперь находится в открытом доступе и может быть использован [1]. В функцию batchCope модуля foxcms передаются параметры ids с фронта, которые не обрабатываются и напрямую конкатенируются в SQL-запрос, что приводит к SQL-инъекции. Уязвимый интерфейс: /admin3953/images/batchCope.html, параметр ids. Эксплуатация уязвимости возможна через отправку POST-запроса с соответствующим payload [3]. Источники: - [1] https://vuldb.com/?id.323611 - [2] https://vuldb.com/?ctiid.323611 - [3] https://github.com/ueh1013/VULN/issues/3
CVE-2025-12920Недостаток был обнаружен в qianfox FoxCMS до 1,2.16. Эта уязвимость зависит от добавления/редактирования функции приложения/admin/controller/Product.php. Эта манипуляция аргументом Заголовок вызывает сценарий кросс-сайта. Можно инициировать атаку удаленно. Эксплойт был опубликован и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.
Открыть в каталоге с фильтром по вендору →