7 results (0.004 seconds)

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

OroPlatform is a PHP Business Application Platform (BAP). A logged in user can access page state data of pinned pages of other users by pageId hash. This vulnerability is fixed in 5.1.4. OroPlatform es una plataforma de aplicaciones empresariales (BAP) PHP. Un usuario que ha iniciado sesión puede acceder a los datos del estado de la página de las páginas fijadas de otros usuarios mediante el hash de ID de página. • https://github.com/oroinc/platform/commit/cf94df7595afca052796e26b299d2ce031e289cd https://github.com/oroinc/platform/security/advisories/GHSA-vxq2-p937-3px3 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0

The 1E-Exchange-DisplayMessageinstruction that is part of the End-User Interaction product pack available on the 1E Exchange does not properly validate the Caption or Message parameters, which allows for a specially crafted input to perform arbitrary code execution with SYSTEM permissions. This instruction only runs on Windows clients. To remediate this issue DELETE the instruction “Show dialogue with caption %Caption% and message %Message%” from the list of instructions in the Settings UI, and replace it with the new instruction 1E-Exchange-ShowNotification instruction available in the updated End-User Interaction product pack. The new instruction should show as “Show %Type% type notification with header %Header% and message %Message%” with a version of 7.1 or above. La instrucción 1E-Exchange-DisplayMessage que forma parte del paquete de productos End-User Interaction disponible en 1E Exchange no valida correctamente los parámetros Caption o Message, lo que permite una entrada especialmente manipulada para realizar la ejecución de código arbitrario con permisos del SYSTEM. Para solucionar este problema, ELIMINAR la instrucción "Mostrar diálogo con el título %Caption% y el mensaje %Message%" de la lista de instrucciones en la Interfaz de Usuario de Configuración y reemplazarla con la nueva instrucción 1E-Exchange-ShowNotification disponible en la versión final actualizada. • https://exchange.1e.com/product-packs/end-user-interaction https://www.1e.com/trust-security-compliance/cve-info • CWE-20: Improper Input Validation •

CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0

The 1E-Exchange-CommandLinePing instruction that is part of the Network product pack available on the 1E Exchange does not properly validate the input parameter, which allows for a specially crafted input to perform arbitrary code execution with SYSTEM permissions. This instruction only runs on Windows clients. To remediate this issue download the updated Network product pack from the 1E Exchange and update the 1E-Exchange-CommandLinePing instruction to v18.1 by uploading it through the 1E Platform instruction upload UI La instrucción 1E-Exchange-CommandLinePing que forma parte del paquete de productos Network disponible en 1E Exchange no valida correctamente el parámetro de entrada, lo que permite una entrada especialmente manipulada para realizar la ejecución de código arbitrario con permisos del SYSTEM. Para solucionar este problema, descargue el paquete de producto de red actualizado desde 1E Exchange y actualice la instrucción 1E-Exchange-CommandLinePing a v18.1 cargándola a través de la interfaz de usuario de carga de instrucciones de 1E Platform. • https://https://exchange.1e.com/product-packs/network https://www.1e.com/trust-security-compliance/cve-info • CWE-20: Improper Input Validation •

CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0

The 1E-Exchange-URLResponseTime instruction that is part of the Network product pack available on the 1E Exchange does not properly validate the URL parameter, which allows for a specially crafted input to perform arbitrary code execution with SYSTEM permissions. This instruction only runs on Windows clients. To remediate this issue download the updated Network product pack from the 1E Exchange and update the 1E-Exchange-URLResponseTime instruction to v20.1 by uploading it through the 1E Platform instruction upload UI La instrucción 1E-Exchange-URLResponseTime que forma parte del paquete de productos Network disponible en 1E Exchange no valida correctamente el parámetro URL, lo que permite una entrada especialmente manipulada para realizar la ejecución de código arbitrario con permisos del SYSTEM. Para solucionar este problema, descargue el paquete de producto de red actualizado desde 1E Exchange y actualice la instrucción 1E-Exchange-URLResponseTime a v20.1 cargándola a través de la interfaz de usuario de carga de instrucciones de 1E Platform. • https://exchange.1e.com/product-packs/network https://www.1e.com/trust-security-compliance/cve-info • CWE-20: Improper Input Validation •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

Pega Platform 8.2.1 allows LDAP injection because a username can contain a * character and can be of unlimited length. An attacker can specify four characters of a username, followed by the * character, to bypass access control. Pega Platform versión 8.2.1, permite una inyección de LDAP porque un nombre de usuario puede contener un carácter * y puede ser de una longitud ilimitada. Un atacante puede especificar cuatro caracteres de un nombre de usuario, seguidos del carácter *, para omitir el control de acceso • https://community.pega.com/upgrade https://gist.github.com/IAG0110/0205823570ba04ec12e656f7f4602877 •