6 results (0.015 seconds)

CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 1

The commit 3730880 (April 2023) and v.0.9-beta1 of gugoan Economizzer has a user enumeration vulnerability in the login and forgot password functionalities. The app reacts differently when a user or email address is valid, and when it's not. This may allow an attacker to determine whether a user or email address is valid, or brute force valid usernames and email addresses. El commit 3730880 (abril de 2023) y v.0.9-beta1 de gugoan Economizzer tiene una vulnerabilidad de enumeración de usuarios en las funcionalidades de inicio de sesión y olvido de contraseña. La aplicación reacciona de manera diferente cuando un usuario o dirección de correo electrónico es válido y cuando no lo es. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-38871 https://github.com/gugoan/economizzer https://www.economizzer.org • CWE-203: Observable Discrepancy •

CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1

A SQL injection vulnerability exists in gugoan Economizzer commit 3730880 (April 2023) and v.0.9-beta1. The cash book has a feature to list accomplishments by category, and the 'category_id' parameter is vulnerable to SQL Injection. Existe una vulnerabilidad de inyección SQL en el commit 3730880 de gugoan Economizzer (abril de 2023) y v.0.9-beta1. El cash book tiene una función para enumerar los logros por categoría y el parámetro 'category_id' es vulnerable a la inyección SQL. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-38870 https://github.com/gugoan/economizzer https://www.economizzer.org • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1

A remote code execution (RCE) vulnerability via an insecure file upload exists in gugoan's Economizzer v.0.9-beta1 and commit 3730880 (April 2023). A malicious attacker can upload a PHP web shell as an attachment when adding a new cash book entry. Afterwards, the attacker may visit the web shell and execute arbitrary commands. Existe una vulnerabilidad de ejecución remota de código (RCE) a través de una carga de archivos insegura en Economizzer v.0.9-beta1 de gugoan y el commit 3730880 (abril de 2023). Un atacante malicioso puede cargar un shell web PHP como archivo adjunto al añadir una nueva entrada en el cash book. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-38874 https://github.com/gugoan/economizzer https://www.economizzer.org • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1

The commit 3730880 (April 2023) and v.0.9-beta1 of gugoan Economizzer is vulnerable to Clickjacking. Clickjacking, also known as a "UI redress attack", is when an attacker uses multiple transparent or opaque layers to trick a user into clicking on a button or link on another page when they were intending to click on the top-level page. Thus, the attacker is "hijacking" clicks meant for their page and routing them to another page, most likely owned by another application, domain, or both. El commit 3730880 (abril de 2023) y v.0.9-beta1 de gugoan Economizzer es vulnerable al secuestro de clics. El secuestro de clics, también conocido como "UI redress attack", ocurre cuando un atacante usa múltiples capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando tenía la intención de hacer clic en la página de nivel superior. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-38873 https://github.com/gugoan/economizzer https://www.economizzer.org • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •

CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1

A host header injection vulnerability exists in gugoan's Economizzer v.0.9-beta1 and commit 3730880 (April 2023). By sending a specially crafted host header in the reset password request, it is possible to send password reset links to users which, once clicked, lead to an attacker-controlled server and thus leak the password reset token. This allows an attacker to reset other users' passwords. Existe una vulnerabilidad de inyección de encabezado del host en Economizzer v.0.9-beta1 de gugoan y en el commit 3730880 (abril de 2023). Al enviar un encabezado de host especialmente manipulado en la solicitud de restablecimiento de contraseña, es posible enviar enlaces de restablecimiento de contraseña a los usuarios que, una vez que se hace clic en ellos, conducen a un servidor controlado por el atacante y, por lo tanto, filtran el token de restablecimiento de contraseña. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-38877 https://github.com/gugoan/economizzer https://www.economizzer.org • CWE-94: Improper Control of Generation of Code ('Code Injection') •