2 results (0.006 seconds)

CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1

The BeanShell components of IRISNext through 9.8.28 allow execution of arbitrary commands on the target server by creating a custom search (or editing an existing/predefined search) of the documents. The search components permit adding BeanShell expressions that result in Remote Code Execution in the context of the IRISNext application user, running on the web server. Los componentes BeanShell de IRISNext versiones hasta 9.8.28, permiten una ejecución de comandos arbitrarios en el servidor de destino mediante la creación de una búsqueda personalizada (o la edición de una búsqueda existente/predefinida) de los documentos. Los componentes de búsqueda permiten añadir expresiones BeanShell que resultan en una Ejecución de Código Remota en el contexto del usuario de la aplicación IRISNext, que es ejecutada en el servidor web • https://github.com/post-cyberlabs/CVE-Advisory/blob/main/CVE-2022-26111.pdf https://varsnext.iriscorporate.com • CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1

Multiple stored XSS vulnerabilities in IrisNext Edition 9.5.16, which allows an authenticated (or compromised) user to inject malicious JavaScript in folder/file name within the application in order to grab other users’ sessions or execute malicious code in their browsers (1-click RCE). Múltiples vulnerabilidades de tipo cross-site scripting (XSS) almacenadas en IRIS IrisNext versión 9.5.16, permiten a usuarios remotos autenticados inyectar script web o HTML arbitrarios por medio de un nombre de documento o carpeta que es manejado inapropiadamente cuando se renderiza el formulario de contacto o el formulario de búsqueda • https://github.com/post-cyberlabs/CVE-Advisory/blob/main/CVE-2021-27930.pdf https://varsnext.iriscorporate.com/history.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •