CVE-2018-15805
https://notcve.org/view.php?id=CVE-2018-15805
Accusoft PrizmDoc HTML5 Document Viewer before 13.5 contains an XML external entity (XXE) vulnerability, allowing an attacker to read arbitrary files or cause a denial of service (resource consumption). En ParsePayloadHeader de payload_metadata.cc, hay una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría llevar a un escalado de privilegios remoto sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Android. • https://help.accusoft.com/PrizmDoc/v13.5/HTML/webframe.html#Release_v13_5.html https://medium.com/%40mrnikhilsri/oob-xxe-in-prizmdoc-cve-2018-15805-dfb1e474345c • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2018-15546
https://notcve.org/view.php?id=CVE-2018-15546
Accusoft PrizmDoc version 13.3 and earlier contains a Stored Cross-Site Scripting issue through a crafted PDF file. Accusoft PrizmDoc en versiones 13.3 y anteriores contiene un problema de Cross-Site Scripting (XSS) persistente mediante un archivo PDF manipulado. • http://help.accusoft.com/PrizmDoc/v13.4/ReleaseNotes/index.htm https://medium.com/%40mrnikhilsri/stored-cross-site-scripting-in-prizmdoc-13-3-and-before-cve-2018-15546-1938191845c5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •