CVE-2017-14198
https://notcve.org/view.php?id=CVE-2017-14198
An issue was discovered in Squiz Matrix before 5.3.6.1 and 5.4.x before 5.4.1.3. Authenticated users with permissions to edit design assets can cause Remote Code Execution (RCE) via a maliciously crafted time_format tag. Se ha descubierto un problema en Squiz Matrix en versiones anteriores a la 5.3.6.1 y en las versiones 5.4.x anteriores a la 5.4.1.3. Los usuarios autenticados con permisos para editar activos de diseño pueden provocar la ejecución remota de código mediante una etiqueta time_format manipulada con fines maliciosas. • http://devalias.net/devalias/2017/09/07/squiz-matrix-multiple-vulnerabilities • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2017-14197
https://notcve.org/view.php?id=CVE-2017-14197
An issue was discovered in Squiz Matrix before 5.3.6.1 and 5.4.x before 5.4.1.3. There are multiple reflected Cross-Site Scripting (XSS) issues in Matrix WYSIWYG plugins. Se ha descubierto un problema en Squiz Matrix en versiones anteriores a la 5.3.6.1 y en las versiones 5.4.x anteriores a la 5.4.1.3. Existen múltiples problemas de Cross-Site Scripting (XSS) reflejado en los plugins Matrix WYSIWYG. • http://devalias.net/devalias/2017/09/07/squiz-matrix-multiple-vulnerabilities • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-3993
https://notcve.org/view.php?id=CVE-2015-3993
Actian Matrix 5.1.x through 5.1.2.4 and 5.2.x through 5.2.0.1 allows remote authenticated users to bypass intended write-access restrictions and execute an UPDATE statement by referencing a table. Actian Matrix 5.1.x hasta 5.1.2.4 y 5.2.x hasta 5.2.0.1 permite a usuarios remotos autenticados evadir las restricciones de acceso de escritura y ejecutar una declaración UPDATE mediante la referencia a una tabla. • http://supportservices.actian.com/images/pdf/Actian-SecAlert_May_2015_NO2_final.doc http://www.securityfocus.com/bid/75187 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •