Page 2 of 10 results (0.005 seconds)

CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 0

Persistent Cross Site Scripting in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 via the Search Functionality allows authenticated users with Object Modification privileges to inject arbitrary HTML and JavaScript in object attributes, which is then rendered in the Search Functionality, to alter the intended functionality and steal cookies, the latter allowing for account takeover. Un ataque de tipo Cross Site Scripting Persistente en aplicaciones web que operan en la plataforma TopEase® de Business-DNA Solutions GmbH, versiones anteriores a 7.1.27 incluyéndola, por medio de la Funcionalidad Search, permite a usuarios autenticados con privilegios de modificación de objetos inyectar HTML y JavaScript arbitrarios en los atributos de los objetos, que luego se renderizan en la funcionalidad de búsqueda, para alterar la funcionalidad prevista y robar cookies, lo que permite la toma de posesión de la cuenta • https://confluence.topease.ch/confluence/display/DOC/Release+Notes • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

Persistent Cross Site Scripting in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 via the Structure Component allows an authenticated remote attacker with Object Modification privileges to inject arbitrary HTML and JavaScript code in an object attribute, which is then rendered in the Structure Component, to alter the intended functionality and steal cookies, the latter allowing for account takeover. Un ataque de tipo Cross Site Scripting Persistente en aplicaciones web que operan en la plataforma TopEase® de Business-DNA Solutions GmbH, versión versiones anteriores a 7.1.27 incluyéndola, por medio del Componente Structure, permite a un atacante remoto autenticado con privilegios de modificación de objetos inyectar código HTML y JavaScript arbitrario en un atributo de objeto, que luego es renderizado en el componente de estructura, para alterar la funcionalidad prevista y robar cookies, permitiendo esto último la toma de posesión de la cuenta • https://confluence.topease.ch/confluence/display/DOC/Release+Notes • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

Insufficient Input Validation in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 allows an authenticated remote attacker with Object Modification privileges to insert arbitrary HTML without code execution. Una Comprobación de Entrada Insuficiente en Aplicaciones Web que operan en la Plataforma TopEase® de Business-DNA Solutions GmbH Versiones anteriores a 7.1.27 incluyéndola, permite a un atacante remoto autentificado con privilegios de Modificación de Objetos insertar HTML arbitrario sin ejecución de código • https://confluence.topease.ch/confluence/display/DOC/Release+Notes • CWE-20: Improper Input Validation CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Incorrect Access Control in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 allows an authenticated remote attacker to view the Shape Editor and Settings, which are functionality for higher privileged users, via identifying said components in the front-end source code or other means. Un control de acceso incorrecto en las aplicaciones web que operan en la plataforma TopEase® de Business-DNA Solutions GmbH, versiones anteriores a 7.1.27 incluyéndola, permite a un atacante remoto autenticado visualizar el editor de formas y la configuración, que son funcionalidades para usuarios con mayores privilegios, por medio de la identificación de dichos componentes en el código fuente del front-end o por otros medios • https://confluence.topease.ch/confluence/display/DOC/Release+Notes • CWE-284: Improper Access Control •

CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0

Missing HTTPOnly flag in Web Applications operating on Business-DNA Solutions GmbH’s TopEase® Platform Version <= 7.1.27 allows an unauthenticated remote attacker to escalate privileges from unauthenticated to authenticated user via stealing and injecting the session- independent and static cookie UID. La falta del flag HTTPOnly en las aplicaciones web que operan en la plataforma TopEase® de Business-DNA Solutions GmbH, versiones anteriores a 7.1.27 incluyéndola, permite a un atacante remoto no autenticado escalar los privilegios de un usuario no autenticado a uno autenticado por medio del robo y la inyección del UID de la cookie estática e independiente de la sesión • https://confluence.topease.ch/confluence/display/DOC/Release+Notes • CWE-732: Incorrect Permission Assignment for Critical Resource CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag •