CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-22403
https://notcve.org/view.php?id=CVE-2020-22403
Cross Site Request Forgery (CSRF) vulnerability in Express cart v1.1.16 allows attackers to add an administrator account, add discount code or other unspecified impacts. El paquete express-cart versiones hasta 1.1.10 para Node.js, permite un ataque de tipo CSRF. • https://github.com/mrvautin/expressCart/issues/120 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32573
https://notcve.org/view.php?id=CVE-2021-32573
The express-cart package through 1.1.10 for Node.js allows Reflected XSS (for an admin) via a user input field for product options. NOTE: the vendor states that this "would rely on an admin hacking his/her own website. ** EN DISPUTA ** El paquete express-cart versiones hasta 1.1.10 para Node.js permite un ataque de tipo XSS Reflejado (para un administrador) por medio de un campo de entrada de usuario para las opciones del producto. NOTA: el proveedor afirma que esto "dependería de que un hacking administrador pirateara su propio sitio web" • https://hackerone.com/reports/395944 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16483
https://notcve.org/view.php?id=CVE-2018-16483
A deficiency in the access control in module express-cart <=1.1.5 allows unprivileged users to add new users to the application as administrators. Una deficiencia en el control de acceso en xpress-cart, en la versión 1.1.5 y anteriores, permite a los usuarios sin privilegios añadir a nuevos usuarios a la aplicación como administrador. • https://hackerone.com/reports/343626 • CWE-290: Authentication Bypass by Spoofing •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1CVE-2018-3758
https://notcve.org/view.php?id=CVE-2018-3758
Unrestricted file upload (RCE) in express-cart module before 1.1.7 allows a privileged user to gain access in the hosting machine. Subida de archivos sin restricción (RCE) en el módulo express-cart en versiones anteriores a la 1.1.7 permite que un usuario privilegiado obtenga acceso a la máquina host. • https://hackerone.com/reports/343726 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-434: Unrestricted Upload of File with Dangerous Type •