CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32953 – MDT AutoSave SQL Injection
https://notcve.org/view.php?id=CVE-2021-32953
An attacker could utilize SQL commands to create a new user MDT AutoSave versions prior to v6.02.06 and update the user’s permissions, granting the attacker the ability to login. Un atacante podría usar comandos SQL para crear un nuevo usuario en MDT AutoSave versiones anteriores a v6.02.06, y actualizar los permisos del usuario, otorgando al atacante la capacidad de iniciar sesión • https://www.cisa.gov/uscert/ics/advisories/icsa-21-189-02 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32961 – MDT AutoSave Unrestricted Upload of File with Dangerous Type
https://notcve.org/view.php?id=CVE-2021-32961
A getfile function in MDT AutoSave versions prior to v6.02.06 enables a user to supply an optional parameter, resulting in the processing of a request in a special manner. This can result in the execution of an unzip command and place a malicious .exe file in one of the locations the function looks for and get execution capabilities. Una función getfile en MDT AutoSave versiones anteriores a v6.02.06, permite al usuario suministrar un parámetro opcional, lo que resulta en el procesamiento de una petición de manera especial. Esto puede resultar en una ejecución de un comando de descompresión y colocar un archivo .exe malicioso en una de las ubicaciones que la función busca y conseguir capacidades de ejecución • https://www.cisa.gov/uscert/ics/advisories/icsa-21-189-02 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.8EPSS: 0%CPEs: 13EXPL: 2CVE-2012-2097
https://notcve.org/view.php?id=CVE-2012-2097
Cross-site request forgery (CSRF) vulnerability in the Autosave module 6.x before 6.x-2.10 and 7.x-2.x before 7.x-2.0 for Drupal allows remote attackers to hijack the authentication of arbitrary users for requests involving "submitting saved results to a node." Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en el módulo de guardado automático (AutoSave) v6.x antes de v6.x-2.10 y v7.x-2.x antes de v7.x-2.0 para Drupal permite a atacantes remotos secuestrar la autenticación de usuarios de su elección que realicen solicitudes que incluyan "el envío de resultados guardados a un nodo." • http://drupal.org/node/1525998 http://drupal.org/node/1528864 http://drupal.org/node/1528906 http://drupalcode.org/project/autosave.git/commitdiff/39f7fb0 http://drupalcode.org/project/autosave.git/commitdiff/f7bfd2d http://www.openwall.com/lists/oss-security/2012/04/11/4 http://www.openwall.com/lists/oss-security/2012/04/12/2 http://www.securityfocus.com/bid/52985 https://exchange.xforce.ibmcloud.com/vulnerabilities/74838 • CWE-352: Cross-Site Request Forgery (CSRF) •