CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-32458 – Data Systems Consulting Co., Ltd. BPM - XML External Entity (XXE) Injection
https://notcve.org/view.php?id=CVE-2022-32458
20 Jul 2022 — Digiwin BPM has a XML External Entity Injection (XXE) vulnerability due to insufficient validation for user input. An unauthenticated remote attacker can perform XML injection attack to access arbitrary system files. Digiwin BPM presenta una vulnerabilidad de Inyección de tipo XML External Entity Injection (XXE) debido a que no es comprobado suficientemente la entrada del usuario. Un atacante remoto no autenticado puede llevar a cabo un ataque de inyección XML para acceder a archivos arbitrarios del sistema • https://www.chtsecurity.com/news/09757883-fea6-4aff-9e22-8ae8c4f8f7bb • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-32457 – Data Systems Consulting Co., Ltd. BPM - Blind Server-Side Request Forgery (SSRF)
https://notcve.org/view.php?id=CVE-2022-32457
20 Jul 2022 — Digiwin BPM has inadequate filtering for URL parameter. An unauthenticated remote attacker can perform Blind SSRF attack to discover internal network topology base on URL error response. Digiwin BPM presenta un filtrado inapropiado para el parámetro URL. Un atacante remoto no autenticado puede llevar a cabo un ataque de tipo SSRF ciego para detectar la topología de la red interna basándose en la respuesta de error de la URL • https://www.chtsecurity.com/news/09757883-fea6-4aff-9e22-8ae8c4f8f7bb • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2022-32456 – Data Systems Consulting Co., Ltd. BPM - SQL Injection
https://notcve.org/view.php?id=CVE-2022-32456
20 Jul 2022 — Digiwin BPM’s function has insufficient validation for user input. An unauthenticated remote attacker can inject arbitrary SQL command to access, modify, delete database or disrupt service. La función de Digiwin BPM no comprueba suficientemente las entradas del usuario. Un atacante remoto no autenticado puede inyectar un comando SQL arbitrario para acceder, modificar, eliminar la base de datos o interrumpir el servicio • https://www.chtsecurity.com/news/09757883-fea6-4aff-9e22-8ae8c4f8f7bb • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •