CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 3CVE-2023-49147 – PDF24 Creator 11.15.1 Local Privilege Escalation
https://notcve.org/view.php?id=CVE-2023-49147
An issue was discovered in PDF24 Creator 11.14.0. The configuration of the msi installer file was found to produce a visible cmd.exe window when using the repair function of msiexec.exe. This allows an unprivileged local attacker to use a chain of actions (e.g., an oplock on faxPrnInst.log) to open a SYSTEM cmd.exe. Se descubrió un problema en PDF24 Creator 11.14.0. Se descubrió que la configuración del archivo de instalación msi produce una ventana cmd.exe visible cuando se utiliza la función de reparación de msiexec.exe. • http://packetstormsecurity.com/files/176206/PDF24-Creator-11.15.1-Local-Privilege-Escalation.html http://seclists.org/fulldisclosure/2023/Dec/18 https://sec-consult.com/vulnerability-lab/advisory/local-privilege-escalation-via-msi-installer-in-pdf24-creator-geek-software-gmbh •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-1828 – PDF24 Articles To PDF <= 4.2.2 - Arbitrary Settings Update via CSRF
https://notcve.org/view.php?id=CVE-2022-1828
The PDF24 Articles To PDF WordPress plugin through 4.2.2 does not have CSRF check in place when updating its settings, which could allow attackers to make a logged in admin change them via a CSRF attack El plugin PDF24 Articles To PDF de WordPress versiones hasta 4.2.2, no presenta comprobación de tipo CSRF cuando es actualizada su configuración, lo que podría permitir a atacantes hacer que un administrador conectado los cambie por medio de un ataque de tipo CSRF • https://wpscan.com/vulnerability/877ce7a5-b1ff-4d03-9cd8-6beed5595af8 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-1827 – PDF24 Article To PDF <= 4.2.2 - Arbitrary Settings Update via CSRF
https://notcve.org/view.php?id=CVE-2022-1827
The PDF24 Article To PDF WordPress plugin through 4.2.2 does not have CSRF check in place when updating its settings, which could allow attackers to make a logged in admin change them via a CSRF attack El plugin PDF24 Article To PDF de WordPress versiones hasta 4.2.2, no dispone de una comprobación de tipo CSRF cuando actualiza su configuración, lo que podría permitir a atacantes hacer que un administrador conectado la cambie por medio de un ataque de tipo CSRF • https://wpscan.com/vulnerability/0bd25283-e079-4010-b139-cce9afb1d54d • CWE-352: Cross-Site Request Forgery (CSRF) •