CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2021-25004 – SEUR Oficial < 1.7.2 - Admin+ Arbitrary File Download
https://notcve.org/view.php?id=CVE-2021-25004
The SEUR Oficial WordPress plugin before 1.7.2 creates a PHP file with a random name when installed, even though it is used for support purposes, it allows to download any file from the web server without restriction after knowing the URL and a password than an administrator can see in the plugin settings page. El plugin SEUR Oficial de WordPress versiones anteriores a 1.7.2, crea un archivo PHP con un nombre aleatorio cuando es instalado, aunque es usado con fines de soporte, permite descargar cualquier archivo del servidor web sin restricción tras conocer la URL y una contraseña que un administrador puede visualizar en la página de configuración del plugin • https://wpscan.com/vulnerability/cfbc2b43-b8f8-4bcb-a3d3-39d217afa530 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-25005 – SEUR Oficial < 1.7.0 - Admin+ Stored Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2021-25005
The SEUR Oficial WordPress plugin before 1.7.0 does not sanitize and escape some of its settings allowing high privilege users to perform Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed El plugin SEUR Oficial de WordPress versiones anteriores a 1.7.0 no sanea ni escapa de algunas de sus configuraciones, lo que permite a los usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida • https://wpscan.com/vulnerability/af7d62ca-09b3-41c8-b771-be936ce8f6b2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •