Gxlcms

Gxlcms

9 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
9.8

CVE-2020-20975

Exploit
  • EPSS 0.26%
  • Veröffentlicht 12.08.2021 15:15:07
  • Zuletzt bearbeitet 21.11.2024 05:12:20

In \lib\admin\action\dataaction.class.php in Gxlcms v1.1, SQL Injection exists via the $filename parameter.

7.5

CVE-2018-18487

Exploit
  • EPSS 0.32%
  • Veröffentlicht 18.10.2018 21:29:03
  • Zuletzt bearbeitet 21.11.2024 03:56:01

In \lib\admin\action\dataaction.class.php in Gxlcms v2.0, the database backup filename generation uses mt_rand() unsafely, resulting in predictable database backup file locations.

9.8

CVE-2018-18488

Exploit
  • EPSS 0.26%
  • Veröffentlicht 18.10.2018 21:29:03
  • Zuletzt bearbeitet 21.11.2024 03:56:02

In \lib\admin\action\dataaction.class.php in Gxlcms v2.0, SQL Injection exists via the ids[] parameter.

6.1

CVE-2018-16655

Exploit
  • EPSS 0.24%
  • Veröffentlicht 07.09.2018 05:29:00
  • Zuletzt bearbeitet 21.11.2024 03:53:09

Gxlcms 1.0 has XSS via the PATH_INFO to gx/lib/ThinkPHP/Tpl/ThinkException.tpl.php.

7.2

CVE-2018-16436

Exploit
  • EPSS 0.27%
  • Veröffentlicht 05.09.2018 20:29:00
  • Zuletzt bearbeitet 21.11.2024 03:52:45

Gxlcms 2.0 before bug fix 20180915 has SQL Injection exploitable by an administrator.

4.9

CVE-2018-16437

Exploit
  • EPSS 0.84%
  • Veröffentlicht 05.09.2018 20:29:00
  • Zuletzt bearbeitet 21.11.2024 03:52:45

Gxlcms 2.0 before bug fix 20180915 has Directory Traversal exploitable by an administrator.

8.8

CVE-2018-15177

  • EPSS 0.13%
  • Veröffentlicht 08.08.2018 00:29:02
  • Zuletzt bearbeitet 21.11.2024 03:50:27

In Gxlcms 2.0, a news/index.php?s=Admin-Admin-Insert CSRF attack can add an administrator account.

9.8

CVE-2018-14685

Exploit
  • EPSS 0.53%
  • Veröffentlicht 28.07.2018 23:29:00
  • Zuletzt bearbeitet 21.11.2024 03:49:35

The add function in www/Lib/Lib/Action/Admin/TplAction.class.php in Gxlcms v1.1.4 allows remote attackers to read arbitrary files via a crafted index.php?s=Admin-Tpl-ADD-id request, related to Lib/Common/Admin/function.php.

7.5

CVE-2017-14979

Exploit
  • EPSS 0.32%
  • Veröffentlicht 03.10.2017 01:29:02
  • Zuletzt bearbeitet 20.04.2025 01:37:25

Gxlcms uses an unsafe character-replacement approach in an attempt to restrict access, which allows remote attackers to read arbitrary files via modified pathnames in the s parameter to index.php, related to Lib/Admin/Action/TplAction.class.php and L...