CVE-2021-33180
https://notcve.org/view.php?id=CVE-2021-33180
Improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability in cgi component in Synology Media Server before 1.8.1-2876 allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Una vulnerabilidad de neutralización inapropiada de elementos especiales usados en un comando SQL ("SQL Injection") en el componente cgi en Synology Media Server versiones anteriores a 1.8.1-2876, permite a atacantes remotos ejecutar comandos SQL arbitrario por medio de vectores no especificados • https://www.synology.com/security/advisory/Synology_SA_20_24 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-5742
https://notcve.org/view.php?id=CVE-2020-5742
Improper Access Control in Plex Media Server prior to June 15, 2020 allows any origin to execute cross-origin application requests. Un Control de Acceso Inapropiado en Plex Media Server antes del 15 de junio de 2020, permite que cualquier origen ejecute peticiones de aplicaciones de origen cruzado • https://www.tenable.com/security/research/tra-2020-35 •
CVE-2020-5741 – Plex Media Server Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-5741
Deserialization of Untrusted Data in Plex Media Server on Windows allows a remote, authenticated attacker to execute arbitrary Python code. Una Deserialización de Datos No Confiables en Plex Media Server en Windows, permite a un atacante autenticado remoto ejecutar código Python arbitrario. Plex Media Server contains a remote code execution vulnerability that allows an attacker with access to the server administrator's Plex account to upload a malicious file via the Camera Upload feature and have the media server execute it. • http://packetstormsecurity.com/files/158470/Plex-Unpickle-Dict-Windows-Remote-Code-Execution.html https://www.tenable.com/security/research/tra-2020-32 https://github.com/tenable/poc/blob/master/plex/plex_media_server/auth_dict_unpickle_rce_exploit_tra_2020_32.py http://support.plex.tv/articles/201105343-advanced-hidden-server-settings https://forums.plex.tv/t/security-regarding-cve-2020-5741/586819 • CWE-502: Deserialization of Untrusted Data •
CVE-2020-5740
https://notcve.org/view.php?id=CVE-2020-5740
Improper Input Validation in Plex Media Server on Windows allows a local, unauthenticated attacker to execute arbitrary Python code with SYSTEM privileges. Una Comprobación de Entrada Inapropiada en Plex Media Server en Windows, permite a un atacante local no autenticado ejecutar código Python arbitrario con privilegios SYSTEM. • https://www.tenable.com/security/research/tra-2020-25 • CWE-427: Uncontrolled Search Path Element •
CVE-2019-19141
https://notcve.org/view.php?id=CVE-2019-19141
The Camera Upload functionality in Plex Media Server through 1.18.2.2029 allows remote authenticated users to write files anywhere the user account running the Plex Media Server has permissions. This allows remote code execution via a variety of methods, such as (on a default Ubuntu installation) creating a .ssh folder in the plex user's home directory via directory traversal, uploading an SSH authorized_keys file there, and logging into the host as the Plex user via SSH. La funcionalidad Camera Upload en Plex Media Server versiones hasta 1.18.2.2029, permite a usuarios autenticados remotos escribir archivos en cualquier lugar donde la cuenta de usuario que ejecuta Plex Media Server tenga permisos. Esto permite una ejecución de código remota por medio de una variedad de métodos, tal y como (en una instalación predeterminada de Ubuntu) crear una carpeta .ssh en el directorio de inicio del usuario de plex mediante el salto de directorio, cargando un archivo authorized_keys de SSH allí e iniciar sesión en el host como el usuario de Plex por medio de SSH. • https://forums.plex.tv/t/security-camera-upload/507289 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •