CVE

CVE-2019-19031 Easy XML Editor <= 1.7.8 - Inyección XML

Resumen Se ha detectado una vulnerabilidad de inyección XML basada en entidades externas (DTD) en el software Easy XML Editor versión 1.7.8 y posiblemente anteriores. Esta vulnerabilidad está asociada al CVE-2019-19031. Impacto Un usuario malintencionado, podría generar un archivo XML malicioso con la intención de causar una denegación de servicio a la aplicación o leer …

CVE-2019-19031 Easy XML Editor <= 1.7.8 - Inyección XML Leer más »

CVE-2019-15092 WordPress Plugin Import Export Users = 1.3.0 – CSV Injection

Impacto Un usuario malicioso con permisos básicos de WordPress (suscriptor) podría ejecutar comandos en el equipo del administrador a través de inyecciones CSV en los campos display_name, first_name y last_name. CVSS v3.1 Vector AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H Prueba de concepto (PoC) #1 Iniciar sesión con cualquier usuario (suscriptor) y cambiar los campos nombre, apellido y alias por el …

CVE-2019-15092 WordPress Plugin Import Export Users = 1.3.0 – CSV Injection Leer más »

CVE-2019-14347 Escalacion de privilegios en Adive

Adive Framework 2.0.7 Adive es un Framework PHP 7 para desarrollar webs y aplicaciones en línea,administra bases de datos MySQL, es una alternativa rápida, fácil y excelente para generar plantillas teniendo así la principal estructura visual de cualquier pagina web. Esta versión incluye un kit de herramientas para desarrolladores para generar tablas, campos y entidades, …

CVE-2019-14347 Escalacion de privilegios en Adive Leer más »

CVE 2019-14348 JoomSport – for Sports – SQL injection

JoomSport 3.3– for Sports: Team & League, Football, Hockey & more JoomSport es un plugin de WordPress desarrollado en 2009 que ofrece características esenciales para cualquier sitio de deporte, estándares de ligas de deportes, deportes de equipo con sus respectivas descripciones, historial de partidos, estadísticas y fotos, incluyendo los enfrentamientos entre los equipos con los …

CVE 2019-14348 JoomSport – for Sports – SQL injection Leer más »

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado Rukovoditel es una aplicación gratuita de gestión de proyectos de código abierto basada en web. Muy lejos de las aplicaciones tradicionales, Rukovoditel ofrece a los usuarios un enfoque más amplio y extenso de la gestión de proyectos. Sus opciones de personalización permiten a los usuarios …

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado Leer más »

CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software Integria IMS 5.0.83 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-19829.   CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery (CSRF) Integria IMS es un software de help desk sencillo, …

CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery Leer más »

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado Integria IMS es un software de help desk sencillo, potente y fácil de usar. Dispone de inventario automatizado y controlado desde un solo interfaz. Agiliza los procesos reduciendo los tiempos y costes de gestión en sus proyectos. Gracias a sus informes personalizados estará informado y podrá ver …

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado Leer más »

CVE-2018-18921 PHP Server Monitor 3.3.1 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software PHP Server Monitor 3.3.1 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar servidores, logs y usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-18921.   CVE-2018-18921 PHP Server Monitor 3.3.1- Cross-Site Request Forgery (CSRF) PHP Server Monitor es …

CVE-2018-18921 PHP Server Monitor 3.3.1 – Cross-Site Request Forgery Leer más »

CVE-2018-18923 Ticketly 1.0 – Múltiples SQL Injections

En la entrada anterior, hemos visto una vulnerabilidad de Escalación de Privilegios en Ticketly 1.0, en esta entrada, vamos a ver otras vulnerabilidades que he encontrado en este software, en concreto, múltiples SQL Injections, estas vulnerabilidades han sido asociadas al CVE-2018-18923.   Ticketly – CVE-2018-18923 Ticketly 1.0 – Multiple SQL Injections Ticketly 1.0, es un software de ticketing desarrollado …

CVE-2018-18923 Ticketly 1.0 – Múltiples SQL Injections Leer más »

CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Cross-Site Scripting Persistente descubierta en el software Libre NMS 1.43, la vulnerabilidad ha sido asociada al CVE-2018-18478.   Libre NMS – CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente Libre Network Monitoring System, es un software utilizado para monitoreo de red basado en PHP / MySQL / SNMP …

CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente Leer más »

CVE-2018-15918 Jorani Leave Management System 0.6.5 – SQL Injection

Esta entrada tiene como finalidad hacer pública la vulnerabilidad SQL Injection descubierta en el software Jorani Leave Management System 0.6.5, la vulnerabilidad ha sido asociada al CVE-2018-159178.   Jorani CVE-2018-15918 Jorani Leave Management System 0.6.5 – SQL Injection Jorani es un sistema de administración de licencias desarrollado en PHP / MySQL bajo una licencia AGPL v3, …

CVE-2018-15918 Jorani Leave Management System 0.6.5 – SQL Injection Leer más »

CVE-2018-15917 Jorani Leave Management System 0.6.5 – Cross-Site Scripting Persistente

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Cross-Site Scripting Persistente descubierta en el software Jorani Leave Management System 0.6.5, la vulnerabilidad ha sido asociada al CVE-2018-15917.   Jorani CVE-2018-15917 Jorani Leave Management System 0.6.5 – Cross-Site Scripting Persistente Jorani es un sistema de administración de licencias desarrollado en PHP / MySQL bajo una licencia …

CVE-2018-15917 Jorani Leave Management System 0.6.5 – Cross-Site Scripting Persistente Leer más »

CVE-2018-15873 Sentrifugo HRMS 3.2 – Blind SQL Injection

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Blind SQL Injection descubierta en el software Sentrifugo HRMS 3.2, la vulnerabilidad ha sido asociada al CVE-2018-15873.   Sentrifugo HRMS 3.2 – CVE-2018-15873 Blind SQL Injection   Sentrifugo es un software open source que facilita la administración de recursos humanos en las organizaciones. Está repleto de …

CVE-2018-15873 Sentrifugo HRMS 3.2 – Blind SQL Injection Leer más »

CVE-2018-15571 WordPress Plugin Export Users to CSV 1.1.1 – CSV Injection

Buenas a todos de nuevo, volviendo de las vacaciones 🏖️, MITRE me ha asignado otro CVE para plugins WordPress, esta vez, he descubierto una vulnerabilidad de ejecución remota de código a través de inyección CSV en el plugin Export Users to CSV – 1.1.1, desarrollado por Matt Cromwell. Esta vulnerabilidad ya fue reportada, no ha sido reconocida por …

CVE-2018-15571 WordPress Plugin Export Users to CSV 1.1.1 – CSV Injection Leer más »

Ir arriba