CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2023-47164
https://notcve.org/view.php?id=CVE-2023-47164
10 Nov 2023 — Cross-site scripting vulnerability in HOTELDRUID 3.0.5 and earlier allows a remote unauthenticated attacker to execute an arbitrary script on the web browser of the user who is logging in to the product. Una vulnerabilidad de Cross-site scripting en HOTELDRUID 3.0.5 y versiones anteriores permite que un atacante remoto no autenticado ejecute un script arbitrario en el navegador web del usuario que inicia sesión en el producto. • https://jvn.jp/en/jp/JVN99177549 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.7EPSS: 0%CPEs: 1EXPL: 1CVE-2021-42948
https://notcve.org/view.php?id=CVE-2021-42948
16 Sep 2022 — HotelDruid Hotel Management Software v3.0.3 and below was discovered to have exposed session tokens in multiple links via GET parameters, allowing attackers to access user session id's. Se ha detectado que HotelDruid Hotel Management Software versiones v3.0.3 y anteriores, tenía tokens de sesión expuestos en múltiples enlaces por medio de parámetros GET, lo que permitía a atacantes acceder a identificadores de sesión de usuarios • https://github.com/dhammon/HotelDruid-CVE-2021-42948 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2021-42949
https://notcve.org/view.php?id=CVE-2021-42949
16 Sep 2022 — The component controlla_login function in HotelDruid Hotel Management Software v3.0.3 generates a predictable session token, allowing attackers to bypass authentication via bruteforce attacks. La función controlla_login del componente HotelDruid Hotel Management Software versión v3.0.3, genera un token de sesión predecible, permitiendo a atacantes omitir la autenticación por medio de ataques de fuerza bruta • https://github.com/dhammon/HotelDruid-CVE-2021-42949 • CWE-287: Improper Authentication •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2022-26564
https://notcve.org/view.php?id=CVE-2022-26564
26 Apr 2022 — HotelDruid Hotel Management Software v3.0.3 contains a cross-site scripting (XSS) vulnerability via the prezzoperiodo4 parameter in creaprezzi.php. HotelDruid Hotel Management Software versión v3.0.3, contiene una vulnerabilidad de tipo cross-site scripting (XSS) por medio del parámetro prezzoperiodo4 en el archivo creaprezzi.php • https://rydzak.me/2022/04/cve-2022-26564 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 4CVE-2022-22909 – Hotel Druid 3.0.3 - Remote Code Execution (RCE)
https://notcve.org/view.php?id=CVE-2022-22909
18 Feb 2022 — HotelDruid v3.0.3 was discovered to contain a remote code execution (RCE) vulnerability which is exploited via an attacker inserting a crafted payload into the name field under the Create New Room module. Se ha detectado que HotelDruid versión v3.0.3, contiene una vulnerabilidad de ejecución de código remota (RCE) que es aprovechada por medio de un atacante que inserta una carga útil diseñada en el campo name en el módulo Create New Room Hotel Druid version 3.0.3 suffers from a remote code execution vulnera... • https://packetstorm.news/files/id/166052 • CWE-94: Improper Control of Generation of Code ('Code Injection') •