CVSS: 9.1EPSS: 1%CPEs: 1EXPL: 1CVE-2018-14473
https://notcve.org/view.php?id=CVE-2018-14473
OCS Inventory 2.4.1 lacks a proper XML parsing configuration, allowing the use of external entities. This issue can be exploited by an attacker sending a crafted HTTP request in order to exfiltrate information or cause a Denial of Service. OCS Inventory 2.4.1 carece de una configuración de análisis XML adecuada, lo que permite el uso de entidades externas. Este problema puede ser explotado por un atacante que envíe una petición HTTP manipulada para exfiltrar información o provocar una denegación de servicio (DoS). • https://www.tarlogic.com/en/blog/vulnerabilities-in-ocs-inventory-2-4-1 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-12482
https://notcve.org/view.php?id=CVE-2018-12482
OCS Inventory 2.4.1 contains multiple SQL injections in the search engine. Authentication is needed in order to exploit the issues. OCS Inventory 2.4.1 contiene múltiples inyecciones SQL en el motor de búsqueda. Se requiere autenticación para explotar estos problemas. • https://www.tarlogic.com/en/blog/vulnerabilities-in-ocs-inventory-2-4-1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1CVE-2018-12483
https://notcve.org/view.php?id=CVE-2018-12483
OCS Inventory 2.4.1 is prone to a remote command-execution vulnerability. Specifically, this issue occurs because the content of the ipdiscover_analyser rzo GET parameter is concatenated to a string used in an exec() call in the PHP code. Authentication is needed in order to exploit this vulnerability. OCS Inventory 2.4.1 es propenso a una vulnerabilidad de ejecución remota de comandos. Específicamente, este problema ocurre debido a que el contenido del parámetro GET rzo ipdiscover_analyser se concatena a una cadena empleada en una llamada exec() en el código PHP. • https://www.tarlogic.com/en/blog/vulnerabilities-in-ocs-inventory-2-4-1 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •