8.8

CVE-2020-8985

ZendTo prior to 5.22-2 Beta allowed reflected XSS and CSRF via the unlock.tpl unlock user functionality.
Daten sind bereitgestellt durch National Vulnerability Database (NVD)
ZendZendto Version3.10
ZendZendto Version3.11
ZendZendto Version3.12
ZendZendto Version3.13
ZendZendto Version3.20
ZendZendto Version3.51
ZendZendto Version3.52
ZendZendto Version3.53
ZendZendto Version3.54
ZendZendto Version3.55
ZendZendto Version3.56-2
ZendZendto Version3.57
ZendZendto Version3.58
ZendZendto Version3.59
ZendZendto Version3.60
ZendZendto Version3.61
ZendZendto Version3.62
ZendZendto Version3.63
ZendZendto Version3.64
ZendZendto Version3.65
ZendZendto Version3.70-2
ZendZendto Version3.71
ZendZendto Version3.72
ZendZendto Version3.73
ZendZendto Version3.74
ZendZendto Version3.75
ZendZendto Version3.90
ZendZendto Version3.91
ZendZendto Version3.92
ZendZendto Version3.93
ZendZendto Version3.94
ZendZendto Version4.00
ZendZendto Version4.01
ZendZendto Version4.02
ZendZendto Version4.03-3
ZendZendto Version4.05-2
ZendZendto Version4.06-2
ZendZendto Version4.07-1
ZendZendto Version4.08-4
ZendZendto Version4.09-1
ZendZendto Version4.10-4
ZendZendto Version4.10-5
ZendZendto Version4.11-1
ZendZendto Version4.11-2
ZendZendto Version4.11-3
ZendZendto Version4.11-4
ZendZendto Version4.11-5
ZendZendto Version4.11-7
ZendZendto Version4.11-8
ZendZendto Version4.11-9
ZendZendto Version4.11-10
ZendZendto Version4.11-11
ZendZendto Version4.11-12
ZendZendto Version4.11-13
ZendZendto Version4.11-14
ZendZendto Version4.12-5
ZendZendto Version4.12-6
ZendZendto Version4.13-1
ZendZendto Version4.20-2
ZendZendto Version4.20-3
ZendZendto Version4.20-5
ZendZendto Version4.20-6
ZendZendto Version4.20-7
ZendZendto Version4.25-3
ZendZendto Version4.27-1
ZendZendto Version4.27-2
ZendZendto Version4.27-4
ZendZendto Version4.27-5
ZendZendto Version4.27-6
ZendZendto Version4.27-7
ZendZendto Version4.28-1
ZendZendto Version4.28-2
ZendZendto Version5.00-1
ZendZendto Version5.00-2
ZendZendto Version5.01-5
ZendZendto Version5.02-5
ZendZendto Version5.03-1
ZendZendto Version5.04-7
ZendZendto Version5.09-13
ZendZendto Version5.10-1
ZendZendto Version5.10-2
ZendZendto Version5.11-1
ZendZendto Version5.11-2
ZendZendto Version5.11-3
ZendZendto Version5.11-4
ZendZendto Version5.11-5
ZendZendto Version5.11-6
ZendZendto Version5.12-3 Updatebeta
ZendZendto Version5.12-4 Updatebeta
ZendZendto Version5.12-6 Updatebeta
ZendZendto Version5.12-7 Updatebeta
ZendZendto Version5.12-8 Updatebeta
ZendZendto Version5.13-1
ZendZendto Version5.13-2
ZendZendto Version5.14-2 Updatebeta
ZendZendto Version5.14-5 Updatebeta
ZendZendto Version5.15-1
ZendZendto Version5.16-1 Updatebeta
ZendZendto Version5.16-4 Updatebeta
ZendZendto Version5.16-5 Updatebeta
ZendZendto Version5.16-7 Updatebeta
ZendZendto Version5.16-8 Updatebeta
ZendZendto Version5.16.6 Updatebeta
ZendZendto Version5.17-1
ZendZendto Version5.17-2
ZendZendto Version5.17-3
ZendZendto Version5.17-4
ZendZendto Version5.17-5 Updatebeta
ZendZendto Version5.17-6
ZendZendto Version5.18-1 Updatebeta
ZendZendto Version5.18-2 Updatebeta
ZendZendto Version5.19-1 Updateproduction
ZendZendto Version5.20-1 Updatebeta
ZendZendto Version5.20-2 Updatebeta
ZendZendto Version5.20-3 Updatebeta
ZendZendto Version5.20-5 Updatebeta
ZendZendto Version5.20-6 Updatebeta
ZendZendto Version5.20-7 Updatebeta
ZendZendto Version5.20-8 Updatebeta
ZendZendto Version5.20-9 Updatebeta
ZendZendto Version5.21-1 Updateproduction
ZendZendto Version5.21-2 Updateproduction
ZendZendto Version5.22-1 Updatebeta
Zu dieser CVE wurde keine Warnung gefunden.
EPSS Metriken
Typ Quelle Score Percentile
EPSS FIRST.org 0.51% 0.395
CVSS Metriken
Quelle Base Score Exploit Score Impact Score Vector String
nvd@nist.gov 8.8 2.8 5.9
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
nvd@nist.gov 6.8 8.6 6.4
AV:N/AC:M/Au:N/C:P/I:P/A:P
CWE-352 Cross-Site Request Forgery (CSRF)

The web application does not, or cannot, sufficiently verify whether a request was intentionally provided by the user who sent the request, which could have originated from an unauthorized actor.

CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

The product does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output that is used as a web page that is served to other users.

https://zend.to/changelog.php
Vendor Advisory
Release Notes