Multiple direct static code injection vulnerabilities in MyCMS 0.9.8 and earlier allow remote attackers to inject arbitrary PHP code into (1) a _score.txt file via the score parameter, or (2) a _setby.txt file via a login cookie, which is then included by games.php. NOTE: programs that use games.php might include (a) snakep.php, (b) tetrisp.php, and possibly other site-specific files.

Múltiples vulnerabilidades de inyección directa de código estático en MyCMS versión 0.9.8 y anteriores, permite a atacantes remotos inyectar código PHP arbitrario en (1) un archivo _score.txt por medio del parámetro score, o (2) un archivo _setby.txt por medio de una cookie de inicio de sesión, que luego es incluida por el archivo games.php. NOTA: los programas que usan el archivo games.php podrían incluir los archivos (a) snakep.php, (b) tetrisp.php, y posiblemente otros archivos específicos del sitio.