4 results (0.021 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

The admin panel for Obl.ong before 1.1.2 allows authorization bypass because the email OTP feature accepts arbitrary numerical values. El panel de administración de Obl.ong anterior a la versión 1.1.2 permite omitir la autorización porque la función OTP de correo electrónico acepta valores numéricos arbitrarios. • https://github.com/obl-ong/admin/releases/tag/v1.1.2 • CWE-863: Incorrect Authorization •

CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1

Directory traversal vulnerability in index.php in FTP Admin 0.1.0 allows remote authenticated users to include and execute arbitrary local files via a .. (dot dot) in the page parameter. NOTE: in some environments, this can be leveraged for remote file inclusion by using a UNC share pathname or an ftp, ftps, or ssh2.sftp URL. Vulnerabilidad de salto de directorio en index.php en FTP Admin 0.1.0 permite a usuarios remotos validados incluir y ejecutar archivos locales a través de una secuencia .. (punto punto) en el parámetro page. • https://www.exploit-db.com/exploits/4681 http://secunia.com/advisories/27875 https://exchange.xforce.ibmcloud.com/vulnerabilities/38779 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 10.0EPSS: 1%CPEs: 1EXPL: 1

index.php in FTP Admin 0.1.0 allows remote attackers to bypass authentication and obtain administrative access via a loggedin parameter with a value of true, as demonstrated by adding a user account. index.php en FTP Admin 0.1.0 permite a atacantes remotos evitar la autenticación y obtener acceso administrativo a través del parámetro loggedin con un valor a verdadero, como se demostró añadiendo una cuenta de usuario. • https://www.exploit-db.com/exploits/4681 http://secunia.com/advisories/27875 https://exchange.xforce.ibmcloud.com/vulnerabilities/38782 • CWE-287: Improper Authentication •

CVSS: 4.3EPSS: 0%CPEs: 9EXPL: 2

Cross-site scripting (XSS) vulnerability in index.php in FTP Admin 0.1.0 allows remote attackers to inject arbitrary web script or HTML via the error parameter in an error page action. Vulnerabilidad de secuencia de comandos en sitios cruzados (XSS) en index.php en FTP Admin 0.1.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro error en una acción de página de error. • https://www.exploit-db.com/exploits/4681 https://www.exploit-db.com/exploits/4684 http://secunia.com/advisories/27875 https://exchange.xforce.ibmcloud.com/vulnerabilities/38780 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •