Page 17 of 94 results (0.003 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1

Incorrect Permission Assignment for Critical Resource in Packagist microweber/microweber prior to 1.2.11. Un Control de Acceso Inapropiado en Packagist microweber/microweber versiones anteriores a 1.2.11 • https://github.com/microweber/microweber/commit/e680e134a4215c979bfd2eaf58336be34c8fc6e6 https://huntr.dev/bounties/0e776f3d-35b1-4a9e-8fe8-91e46c0d6316 • CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1

Cross Site Scripting (XSS). vulnerability exists in Microweber CMS 1.2.7 via the Login form, which could let a malicious user execute Javascript by Inserting code in the request form. Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Microweber CMS versión 1.2.7 por medio del formulario de inicio de sesión, que podría permitir a un usuario malicioso ejecutar Javascript al insertar código en el formulario de petición • https://github.com/nck0099/osTicket/issues/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.2EPSS: 4%CPEs: 1EXPL: 3

A directory traversal issue in the Utils/Unzip module in Microweber through 1.1.20 allows an authenticated attacker to gain remote code execution via the backup restore feature. To exploit the vulnerability, an attacker must have the credentials of an administrative user, upload a maliciously constructed ZIP file with file paths including relative paths (i.e., ../../), move this file into the backup directory, and execute a restore on this file. Un problema de salto de directorio en el módulo Utils/Unzip en Microweber versiones hasta 1.1.20, permite a un atacante autenticado conseguir una ejecución de código remota por medio de la funcionalidad backup restore. Para explotar la vulnerabilidad, un atacante debe tener las credenciales de un usuario administrativo, cargar un archivo ZIP construido maliciosamente con rutas de archivo que incluyan rutas relativas (es decir, ../../), mover este archivo al directorio de copia de seguridad y ejecutar una restaurar en este archivo Microweber CMS versions 1.1.20 and below suffer from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/49856 http://packetstormsecurity.com/files/162514/Microweber-CMS-1.1.20-Remote-Code-Execution.html https://github.com/microweber/microweber/commit/777ee9c3e7519eb3672c79ac41066175b2001b50 https://sl1nki.page/advisories/CVE-2020-28337 https://sl1nki.page/blog/2021/02/01/microweber-zip-slip • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

Microweber 1.1.18 is affected by insufficient session expiration. When changing passwords, both sessions for when a user changes email and old sessions in any other browser or device, the session does not expire and remains active. Microweber versión 1.1.18, está afectado por una expiración insuficiente de la sesión. Cuando se cambian contraseñas, tanto las sesiones para cuando un usuario cambia de correo electrónico como las sesiones antiguas en cualquier otro navegador o dispositivo, la sesión no caduca y permanece activa • https://gist.github.com/virendratiwari03/bddafb3cd82dde8202bd056d340d3e36 • CWE-613: Insufficient Session Expiration •

CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0

Microweber 1.1.18 is affected by broken authentication and session management. Local session hijacking may occur, which could result in unauthorized access to system data or functionality, or a complete system compromise. Microweber versión 1.1.18, está afectado por una autenticación y una administración de sesiones rota. Puede ocurrir un secuestro de sesión local, lo que podría resultar en un acceso no autorizado a datos de sistema o la funcionalidad del sistema, o un compromiso total del sistema • https://gist.github.com/virendratiwari03/9fdebe4d0b379d1996238b535add56d6 • CWE-287: Improper Authentication •