nvd,bdu
Intelliants
Уязвимости
66
Эксплуатируемые
0
Критический
6
Высокий
18
Топ уязвимостей
CVE-2024-25400Subrion CMS 4.2.1 уязвим для SQL-инъекции через ia.core.mysqli.php. ПРИМЕЧАНИЕ: это оспаривается несколькими третьими сторонами, поскольку это относится к HTTP-запросу к PHP-файлу, который содержит только класс, без какого-либо механизма для приема внешнего ввода, и сообщаемый уязвимый метод отсутствует в файле.
CVE-2020-18155Уязвимость SQL-инъекции в Subrion CMS v4.2.1 на странице поиска, если веб-сайт использует соединение PDO.
CVE-2017-6013Subrion CMS 4.0.5.10 имеет SQL-инъекцию в admin/database/ через параметр query.
CVE-2017-5543includes/classes/ia.core.users.php в Subrion CMS 4.0.5 позволяет удаленным злоумышленникам проводить атаки внедрения PHP-объектов через специально созданные сериализованные данные в файле cookie salt в запросе на вход в систему.
CVE-2017-11445Subrion CMS до версии 4.1.6 имеет уязвимость SQL-инъекции в /front/actions.php через массив $_POST.
CVE-2017-11444Subrion CMS до версии 4.1.5.10 имеет уязвимость SQL-инъекции в /front/search.php через массив $_GET.
CVE-2023-46947Subrion 4.2.1 имеет уязвимость удаленного выполнения команд в бэкэнде.
CVE-2021-43464Уязвимость удаленного выполнения кода (RCE) существует в Subrion CMS 4.2.1 через измененный код в фоновом поле; когда информация изменяется, данные в ней будут выполняться через eval().
CVE-2020-18326Уязвимость межсайтовой подделки запросов (CSRF) существует в Intelliants Subrion CMS v4.2.1 через функцию администратора Members, которая может позволить удаленному неаутентифицированному злоумышленнику отправить авторизованный запрос жертве и успешно создать произвольного пользователя-администратора.
CVE-2019-7357Subrion CMS 4.2.1 имеет CSRF в panel/modules/plugins/. Злоумышленник может удаленно активировать/деактивировать плагины.
CVE-2018-21037Subrion CMS 4.1.5 (и, возможно, более ранние версии) позволяет CSRF изменять пароль администратора через URI panel/members/edit/1.
CVE-2017-6069Subrion CMS 4.0.5 имеет CSRF в admin/blog/add/. Злоумышленник может добавить любой тег и при необходимости вставить XSS через параметр tags.
CVE-2017-6068Subrion CMS 4.0.5 имеет CSRF в admin/blocks/add/. Злоумышленник может создать любой блок и при необходимости вставить XSS через параметр content.
CVE-2017-6066Subrion CMS 4.0.5 имеет CSRF в admin/languages/edit/1/. Злоумышленник может выполнить любое действие Edit Language и при необходимости вставить XSS через параметр title.
CVE-2017-6002Subrion CMS 4.0.5.10 имеет CSRF в admin/blog/add/. Злоумышленник может добавить любую запись в блог и при необходимости вставить XSS в эту запись через параметр body.
CVE-2017-18366В Subrion CMS 4.1.5 присутствует CSRF в blog/delete/.
CVE-2017-15063В Subrion CMS 4.1.x до 4.1.5 и до 4.2.0 существуют уязвимости CSRF из-за логической ошибки. Хотя существует функциональность для обнаружения CSRF, она вызывается слишком поздно в коде ia.core.php, что позволяет (например) атаковать параметр запроса к panel/database.
CVE-2019-20390В Subrion CMS 4.2.1 обнаружена уязвимость Cross-Site Request Forgery (CSRF), которая позволяет удаленному злоумышленнику удалять файлы на сервере без ведома жертвы, заманивая аутентифицированного пользователя на веб-страницу злоумышленника. Приложение не проверяет CSRF-токен для GET-запроса. Злоумышленник может создать URL-адрес panel/uploads/read.json?cmd=rm (удаляя этот токен) и отправить его жертве.
CVE-2020-12468Subrion CMS 4.2.1 допускает внедрение CSV через значение фразы в языке. Это связано с phrases/add/ и languages/download/.
CVE-2012-4772Уязвимость SQL-инъекции в register/ в Subrion CMS до 2.2.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр plan_id.
CVE-2011-5212Уязвимость SQL-инъекции в admin/index.php в Subrion CMS 2.0.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через поле (1) user name или (2) password.
BDU:2024-01968Уязвимость компонента ia.core.mysqli.php CMS-системы Intelliants Subrion CMS связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы
CVE-2021-41947Уязвимость SQL-инъекции существует в Subrion CMS v4.2.1 в визуальном режиме.
CVE-2018-19422/panel/uploads в Subrion CMS 4.2.1 позволяет удаленным злоумышленникам выполнять произвольный PHP-код через файл .pht или .phar, поскольку файл .htaccess опускает их.
CVE-2012-4773Множественные уязвимости межсайтовой подделки запросов (CSRF) в Subrion CMS до 2.2.3 позволяют удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, добавляющих, удаляющих или изменяющих конфиденциальную информацию, как показано на примере добавления учетной записи администратора через действие add в admin/accounts/add/.