CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2025-3087 – Stored XSS Vulnerability in M-Files Web
https://notcve.org/view.php?id=CVE-2025-3087
04 Apr 2025 — Stored XSS in M-Files Web versions from 25.1.14445.5 to 25.2.14524.4 allows an authenticated user to run scripts XSS almacenado en las versiones de M-Files Web 25.1.14445.5 a 25.2.14524.4 permiten que un usuario autenticado ejecute scripts • https://product.m-files.com/security-advisories/cve-2025-3087 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2025-3086 – User in anonymous role could create and delete views
https://notcve.org/view.php?id=CVE-2025-3086
04 Apr 2025 — Improper isolation of users in M-Files Server version before 25.3.14549 allows anonymous user to affect other anonymous users views and possibly cause a denial of service El aislamiento inadecuado de usuarios en la versión de M-Files Server anterior a la 25.3.14549 permite que usuarios anónimos afecten las vistas de otros usuarios anónimos y posiblemente provoquen una denegación de servicio. • https://product.m-files.com/security-advisories/cve-2025-3086 • CWE-653: Improper Isolation or Compartmentalization •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2025-2159 – Stored XSS in M-Files Admin user interface
https://notcve.org/view.php?id=CVE-2025-2159
04 Apr 2025 — Stored XSS in Desktop UI in M-Files Server Admin tool before version 25.3.14681.7 on Windows allows authenticated local user to run scripts via UI XSS almacenado en la interfaz de usuario del escritorio en la herramienta de administración del servidor M-Files antes de la versión 25.3.14681.7 en Windows permiten que los usuarios locales autenticados ejecuten scripts a través de la interfaz de usuario. • https://product.m-files.com/security-advisories/cve-2025-2159 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2025-0635 – Denial of Service condition in M-Files Server
https://notcve.org/view.php?id=CVE-2025-0635
23 Jan 2025 — Denial of service condition in M-Files Server in versions before 25.1.14445.5 allows an unauthenticated user to consume computing resources in certain conditions. La condición de denegación de servicio en M-Files Server en versiones anteriores a 25.1.14445.5 permite que un usuario no autenticado consuma recursos informáticos en determinadas condiciones. • https://product.m-files.com/security-advisories/cve-2025-0635 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2025-0619 – Unsafe stored password recovery
https://notcve.org/view.php?id=CVE-2025-0619
23 Jan 2025 — Unsafe password recovery from configuration in M-Files Server before 25.1 allows a highly privileged user to recover external connector passwords La recuperación de contraseñas no seguras de la configuración en M-Files Server anterior a la versión 25.1 permite que un usuario con altos privilegios recupere contraseñas de conectores externos • https://product.m-files.com/security-advisories/cve-2025-0619 • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2025-0648 – M-Files Server crash via EOT database driver configuration
https://notcve.org/view.php?id=CVE-2025-0648
23 Jan 2025 — Unexpected server crash in database driver in M-Files Server before 25.1.14445.5 allows a highly privileged attacker to cause denial of service via configuration change. Una falla inesperada del servidor en el controlador de base de datos en M-Files Server anterior a 25.1.14445.5 permite que un atacante altamente privilegiado provoque una denegación de servicio a través de un cambio de configuración. Unexpected server crash in database driver in M-Files Server before 25.1.14445.5 and before 24.8 LTS SR3 all... • https://product.m-files.com/security-advisories/cve-2025-0648 • CWE-248: Uncaught Exception •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-10126 – Local file inclusion vulnerability in M-Files Server
https://notcve.org/view.php?id=CVE-2024-10126
20 Nov 2024 — Local File Inclusion vulnerability in M-Files Server in versions before 24.11 (excluding 24.8 SR1, 24.2 SR3 and 23.8 SR7) allows an authenticated user to read server local files of a limited set of filetypes via document preview. La vulnerabilidad de inclusión de archivos locales en M-Files Server en versiones anteriores a 24.11 (excluyendo 24.8 SR1, 24.2 SR3 y 23.8 SR7) permite que un usuario autenticado lea archivos locales del servidor de un conjunto limitado de tipos de archivos a través de la vista pre... • https://product.m-files.com/security-advisories/CVE-2024-10126 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-10127 – Support for authentication bypass condition in M-Files LDAP authentication
https://notcve.org/view.php?id=CVE-2024-10127
20 Nov 2024 — Authentication bypass condition in LDAP authentication in M-Files server versions before 24.11 supported usage of OpenLDAP configurations that allowed user authentication without a password when the LDAP server itself had the vulnerable configuration. La condición de omisión de autenticación en la autenticación LDAP en las versiones del servidor M-Files anteriores a la 24.11 admitía el uso de configuraciones de OpenLDAP que permitían la autenticación de usuarios sin contraseña cuando el propio servidor LDAP... • https://product.m-files.com/security-advisories/CVE-2024-10127 • CWE-303: Incorrect Implementation of Authentication Algorithm •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-11176 – Incorrect calculation of effective permissions in M-Files Aino
https://notcve.org/view.php?id=CVE-2024-11176
20 Nov 2024 — Improper access control vulnerability in M-Files Aino in versions before 24.10 allowed an authenticated user to access object information via incorrect calculation of effective permissions. Una vulnerabilidad de control de acceso inadecuado en M-Files Aino en versiones anteriores a 24.10 permitía a un usuario autenticado acceder a la información del objeto mediante un cálculo incorrecto de permisos efectivos. • https://product.m-files.com/security-advisories/CVE-2024-11176 • CWE-682: Incorrect Calculation CWE-732: Incorrect Permission Assignment for Critical Resource CWE-863: Incorrect Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-9333 – Permission bypass in M-Files Connector for Copilot
https://notcve.org/view.php?id=CVE-2024-9333
02 Oct 2024 — Permissions bypass in M-Files Connector for Copilot before version 24.9.3 allows authenticated user to access limited amount of documents via incorrect access control list calculation • https://product.m-files.com/security-advisories/cve-2024-9333 • CWE-281: Improper Preservation of Permissions •