CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-24573
https://notcve.org/view.php?id=CVE-2022-24573
A stored cross-site scripting (XSS) vulnerability in the admin interface in Element-IT HTTP Commander 7.0.0 allows unauthenticated users to get admin access by injecting a malicious script in the User-Agent field. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenada en la interfaz de administración en Element-IT HTTP Commander versión 7.0.0, permite a usuarios no autenticados conseguir acceso de administrador inyectando un script malicioso en el campo User-Agent • http://element-it.com https://www.element-it.com/news.aspx • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33211
https://notcve.org/view.php?id=CVE-2021-33211
A Directory Traversal vulnerability in the Unzip feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to write files to arbitrary directories via relative paths in ZIP archives. Una vulnerabilidad de Salto de Directorios en la funcionalidad Unzip en Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remoto escribir archivos en directorios arbitrario por medio de rutas relativas en archivos ZIP • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-021.txt https://www.syss.de/pentest-blog • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33212
https://notcve.org/view.php?id=CVE-2021-33212
A Cross-site scripting (XSS) vulnerability in the "View in Browser" feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to inject arbitrary web script or HTML via a crafted SVG image. Una vulnerabilidad de tipo Cross-site scripting (XSS) en la funcionalidad "View in Browser" de Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remoto inyectar script web o HTML arbitrario por medio de una imagen SVG diseñada • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-020.txt https://www.syss.de/pentest-blog • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33213
https://notcve.org/view.php?id=CVE-2021-33213
An SSRF vulnerability in the "Upload from URL" feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to retrieve HTTP and FTP files from the internal server network by inserting an internal address. Una vulnerabilidad de tipo SSRF en la funcionalidad "Upload from URL" de Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remotos recuperar archivos HTTP y FTP de la red de servidores internos al insertar una dirección interna • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-027.txt https://www.syss.de/pentest-blog • CWE-918: Server-Side Request Forgery (SSRF) •