CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-23139
https://notcve.org/view.php?id=CVE-2020-23139
Microweber 1.1.18 is affected by broken authentication and session management. Local session hijacking may occur, which could result in unauthorized access to system data or functionality, or a complete system compromise. Microweber versión 1.1.18, está afectado por una autenticación y una administración de sesiones rota. Puede ocurrir un secuestro de sesión local, lo que podría resultar en un acceso no autorizado a datos de sistema o la funcionalidad del sistema, o un compromiso total del sistema • https://gist.github.com/virendratiwari03/9fdebe4d0b379d1996238b535add56d6 • CWE-287: Improper Authentication •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-23138
https://notcve.org/view.php?id=CVE-2020-23138
An unrestricted file upload vulnerability was discovered in the Microweber 1.1.18 admin account page. An attacker can upload PHP code or any extension (eg- .exe) to the web server by providing image data and the image/jpeg content type with a .php extension. Se detectó una vulnerabilidad de carga de archivos sin restricciones en la página de la cuenta de administrador de Microweber versión 1.1.18. Un atacante puede cargar código PHP o cualquier extensión (por ejemplo, .exe) hacia el servidor web al proporcionar datos de imagen y el tipo de contenido image/jpeg con una extensión .php • https://gist.github.com/virendratiwari03/0918aaba97eba31666630996ab3aeec3 https://gist.github.com/virendratiwari03/800f96271f22c0c2f5aea126c7f1f170 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-23136
https://notcve.org/view.php?id=CVE-2020-23136
Microweber v1.1.18 is affected by no session expiry after log-out. Microweber versión v1.1.18, está afectado por una no expiración de la sesión después del cierre de sesión • http://microweber.com https://gist.github.com/virendratiwari03/0b0d161e1141fdd74122abbb02fefe17 • CWE-613: Insufficient Session Expiration •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 2CVE-2020-13405
https://notcve.org/view.php?id=CVE-2020-13405
userfiles/modules/users/controller/controller.php in Microweber before 1.1.20 allows an unauthenticated user to disclose the users database via a /modules/ POST request. El archivo userfiles/modules/users/controller/controller.php en Microweber versiones anteriores a 1.1.20, permite a un usuario no autenticado divulgar la base de datos de usuarios por medio de una petición POST de /modules/ • https://github.com/mrnazu/CVE-2020-13405 https://github.com/microweber/microweber/commit/269320e0e0e06a1785e1a1556da769a34280b7e6 https://rhinosecuritylabs.com/research/microweber-database-disclosure • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13241
https://notcve.org/view.php?id=CVE-2020-13241
Microweber 1.1.18 allows Unrestricted File Upload because admin/view:modules/load_module:users#edit-user=1 does not verify that the file extension (used with the Add Image option on the Edit User screen) corresponds to an image file. Microweber versión 1.1.18, permite una Carga de Archivos Sin Restricciones porque admin/view:modules/load_module:users#edit-user=1 no comprueba que la extensión del archivo (usada con la opción Add Image en la pantalla Edit User) corresponda a un archivo de imagen. • https://gist.github.com/virendratiwari03/0af29841fdf27207eb3abc8f28d326f3 • CWE-434: Unrestricted Upload of File with Dangerous Type •