CVE-2022-25336
https://notcve.org/view.php?id=CVE-2022-25336
Ibexa DXP ezsystems/ezpublish-kernel 7.5.x before 7.5.26 and 1.3.x before 1.3.12 allows Insecure Direct Object Reference (IDOR) attacks against image files because the image path and filename can be correctly deduced. Ibexa DXP ezsystems/ezpublish-kernel versiones 7.5.x anteriores a 7.5.26 y versiones 1.3.x anteriores a 1.3.12, permite ataques de Referencia Directa a Objetos Insegura (IDOR) contra archivos de imagen porque la ruta de la imagen y el nombre del archivo pueden ser deducidos correctamente • https://developers.ibexa.co/security-advisories/ibexa-sa-2022-001-image-filenames-sanitization • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2022-25337
https://notcve.org/view.php?id=CVE-2022-25337
Ibexa DXP ezsystems/ezpublish-kernel 7.5.x before 7.5.26 and 1.3.x before 1.3.12 allows injection attacks via image filenames. Ibexa DXP ezsystems/ezpublish-kernel versiones 7.5.x anteriores a 7.5.26 y versiones 1.3.x anteriores a 1.3.12, permite ataques de inyección por medio de nombres de archivos de imágenes • https://developers.ibexa.co/security-advisories/ibexa-sa-2022-001-image-filenames-sanitization • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •