CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-36394 – SysAid - CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
https://notcve.org/view.php?id=CVE-2024-36394
SysAid - CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') SysAid - CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comando del sistema operativo") • https://www.gov.il/en/Departments/faq/cve_advisories • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0CVE-2024-36393 – SysAid - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://notcve.org/view.php?id=CVE-2024-36393
SysAid - CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') SysAid - CWE-89: Neutralización inadecuada de elementos especiales utilizados en un comando SQL ("Inyección SQL") • https://www.gov.il/en/Departments/faq/cve_advisories • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-47247
https://notcve.org/view.php?id=CVE-2023-47247
In SysAid On-Premise before 23.3.34, there is an edge case in which an end user is able to delete a Knowledge Base article, aka bug 15102. En SysAid On-Premise anterior al 23.3.34, hay un caso extremo en el que un usuario final puede eliminar un artículo de la base de conocimientos, también conocido como error 15102. • https://documentation.sysaid.com/docs/23334 •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2023-33706
https://notcve.org/view.php?id=CVE-2023-33706
SysAid before 23.2.15 allows Indirect Object Reference (IDOR) attacks to read ticket data via a modified sid parameter to EmailHtmlSourceIframe.jsp or a modified srID parameter to ShowMessage.jsp. SysAid anterior a 23.2.15 permite que los ataques de Indirect Object Reference (IDOR) lean datos de tickets a través de un parámetro sid modificado en EmailHtmlSourceIframe.jsp o un parámetro srID modificado en ShowMessage.jsp. • https://blog.pridesec.com.br/en/insecure-direct-object-reference-idor-affects-helpdesk-sysaid • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23166 – Sysaid – Sysaid Local File Inclusion (LFI)
https://notcve.org/view.php?id=CVE-2022-23166
Sysaid – Sysaid Local File Inclusion (LFI) – An unauthenticated attacker can access to the system by accessing to "/lib/tinymce/examples/index.html" path. in the "Insert/Edit Embedded Media" window Choose Type : iFrame and File/URL : [here is the LFI] Solution: Update to 22.2.20 cloud version, or to 22.1.64 on premise version. Sysaid - Sysaid Inclusión de Archivos Locales (LFI) - Un atacante no autenticado puede acceder al sistema, al acceder a una ruta "/lib/tinymce/examples/index.html". en la ventana "Insert/Edit Embedded Media" Elija el Tipo : iFrame y el Archivo/URL : [aquí está el LFI] Solución: Actualizar a versión 22.2.20 en la nube, o versión 22.1.64 en las instalaciones • https://www.gov.il/en/departments/faq/cve_advisories • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •