CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25252
https://notcve.org/view.php?id=CVE-2020-25252
An issue was discovered in Hyland OnBase through 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. CSRF can be used to log in a user, and then perform actions, because there are default credentials (the wstinol password for the manager or hsi account). Se detectó un problema en Hyland OnBase versión hasta la 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión20.3.10.1000 e inferior. El CSRF puede utilizarse para iniciar la sesión de un usuario y luego realizar acciones, porque hay credenciales predeterminadas (la contraseña de wstinol para el administrador o la cuenta hsi) • https://seclists.org/fulldisclosure/2020/Sep/9 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25253
https://notcve.org/view.php?id=CVE-2020-25253
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows SQL injection, as demonstrated by the TableName, ColumnName, Name, UserId, or Password parameter. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra por el parámetro TableName, ColumnName, Name, UserId o Password • https://seclists.org/fulldisclosure/2020/Sep/7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25254
https://notcve.org/view.php?id=CVE-2020-25254
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows SQL injection, as demonstrated by TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView, or AddWorkViewLinkedServer. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra en TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView o AddWorkViewLinkedServer • http://seclists.org/fulldisclosure/2020/Oct/9 https://seclists.org/fulldisclosure/2020/Oct/9 https://seclists.org/fulldisclosure/2020/Sep/7 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25255
https://notcve.org/view.php?id=CVE-2020-25255
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. It allows remote attackers to cause a denial of service (outage of connection-request processing) via a long user ID, which triggers an exception and a large log entry. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite a los atacantes remotos causar una denegación de servicio (interrupción del procesamiento de la solicitud de conexión) a través de una larga identificación de usuario, que desencadena una excepción y una gran entrada de registro • https://seclists.org/fulldisclosure/2020/Sep/17 •
CVSS: 9.1EPSS: 0%CPEs: 5EXPL: 0CVE-2020-25256
https://notcve.org/view.php?id=CVE-2020-25256
An issue was discovered in Hyland OnBase 16.0.2.83 and below, 17.0.2.109 and below, 18.0.0.37 and below, 19.8.16.1000 and below and 20.3.10.1000 and below. PKI certificates have a private key that is the same across different customers' installations. Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Los certificados de PKI tienen una clave privada que es la misma en las instalaciones de los diferentes clientes • https://seclists.org/fulldisclosure/2020/Sep/18 • CWE-798: Use of Hard-coded Credentials •