CVSS: 9.1EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25251
https://notcve.org/view.php?id=CVE-2020-25251
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. Client-side authentication is used for critical functions such as adding users or retrieving sensitive information. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. La autenticación del lado del cliente se utiliza para funciones críticas como la adición de usuarios o la recuperación de información sensible • https://seclists.org/fulldisclosure/2020/Sep/16 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25252
https://notcve.org/view.php?id=CVE-2020-25252
An issue was discovered in Hyland OnBase through 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. CSRF can be used to log in a user, and then perform actions, because there are default credentials (the wstinol password for the manager or hsi account). Se detectó un problema en Hyland OnBase versión hasta la 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión20.3.10.1000 e inferior. El CSRF puede utilizarse para iniciar la sesión de un usuario y luego realizar acciones, porque hay credenciales predeterminadas (la contraseña de wstinol para el administrador o la cuenta hsi) • https://seclists.org/fulldisclosure/2020/Sep/9 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25253
https://notcve.org/view.php?id=CVE-2020-25253
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows SQL injection, as demonstrated by the TableName, ColumnName, Name, UserId, or Password parameter. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra por el parámetro TableName, ColumnName, Name, UserId o Password • https://seclists.org/fulldisclosure/2020/Sep/7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25254
https://notcve.org/view.php?id=CVE-2020-25254
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows SQL injection, as demonstrated by TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView, or AddWorkViewLinkedServer. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra en TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView o AddWorkViewLinkedServer • http://seclists.org/fulldisclosure/2020/Oct/9 https://seclists.org/fulldisclosure/2020/Oct/9 https://seclists.org/fulldisclosure/2020/Sep/7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25255
https://notcve.org/view.php?id=CVE-2020-25255
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows remote attackers to cause a denial of service (outage of connection-request processing) via a long user ID, which triggers an exception and a large log entry. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite a los atacantes remotos causar una denegación de servicio (interrupción del procesamiento de la solicitud de conexión) a través de una larga identificación de usuario, que desencadena una excepción y una gran entrada de registro • https://seclists.org/fulldisclosure/2020/Sep/17 •