CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5749
https://notcve.org/view.php?id=CVE-2020-5749
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, authenticated attacker to conduct persistent cross-site scripting (XSS) attacks by creating a crafted group. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante remoto autenticado conducir ataques de tipo cross-site scripting (XSS) persistente mediante la creación de un grupo diseñado. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5751
https://notcve.org/view.php?id=CVE-2020-5751
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, authenticated attacker to conduct persistent cross-site scripting (XSS) attacks by creating a crafted operator. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante autenticado remoto conducir ataques de tipo cross-site scripting (XSS) persistente mediante la creación de un operador diseñado. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5748
https://notcve.org/view.php?id=CVE-2020-5748
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, unauthenticated attacker to conduct persistent cross-site scripting (XSS) attacks via the self-registration feature. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante remoto no autenticado conducir ataques de tipo cross-site scripting (XSS) persistente por medio de la funcionalidad de autorregistro. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5745
https://notcve.org/view.php?id=CVE-2020-5745
07 May 2020 — Cross-site request forgery in TCExam 14.2.2 allows a remote attacker to perform sensitive application actions by tricking legitimate users into clicking a crafted link. Una vulnerabilidad de tipo cross-site request forgery en TCExam versión 14.2.2, permite a un atacante remoto llevar a cabo acciones confidenciales de la aplicación al engañar a los usuarios legítimos para que hagan clic en un enlace diseñado. • https://www.tenable.com/security/research/tra-2020-31 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5746
https://notcve.org/view.php?id=CVE-2020-5746
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, authenticated attacker to conduct persistent cross-site scripting (XSS) attacks by creating a crafted test. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante remoto autenticado conducir ataques de tipo cross-site scripting (XSS) persistente mediante la creación de una prueba diseñada. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5743
https://notcve.org/view.php?id=CVE-2020-5743
07 May 2020 — Improper Control of Resource Identifiers in TCExam 14.2.2 allows a remote, authenticated attacker to access test metadata for which they don't have permission. Un Control Inapropiado de los Identificadores de Recursos en TCExam versión 14.2.2, permite a un atacante remoto autenticado acceder a metadatos de prueba para los que no tiene permiso. • https://www.tenable.com/security/research/tra-2020-31 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5744
https://notcve.org/view.php?id=CVE-2020-5744
07 May 2020 — Relative Path Traversal in TCExam 14.2.2 allows a remote, authenticated attacker to read the contents of arbitrary files on disk. Un Salto de Ruta Relativa en TCExam versión 14.2.2, permite a un atacante remoto autenticado leer el contenido de archivos arbitrarios en el disco. • https://www.tenable.com/security/research/tra-2020-31 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5747
https://notcve.org/view.php?id=CVE-2020-5747
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, authenticated attacker to conduct persistent cross-site scripting (XSS) attacks by creating a crafted test. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante remoto autenticado conducir ataques de tipo cross-site scripting (XSS) persistente mediante la creación de una prueba diseñada. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-13422
https://notcve.org/view.php?id=CVE-2018-13422
07 Jul 2018 — TCExam before 14.1.2 has XSS via an ff_ or xl_ field. TCExam en versiones anteriores a la 14.1.2 tiene Cross-Site Scripting (XSS) mediante un campo ff_ or xl_. • https://github.com/tecnickcom/tcexam/pull/223 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 102EXPL: 1CVE-2012-4601
https://notcve.org/view.php?id=CVE-2012-4601
23 Nov 2012 — Multiple SQL injection vulnerabilities in Nicola Asuni TCExam before 11.3.009 allow remote authenticated users with level 5 or greater permissions to execute arbitrary SQL commands via the (1) user_groups[] parameter to admin/code/tce_edit_test.php or (2) subject_id parameter to admin/code/tce_show_all_questions.php. Multiples vulnerabilidades de inyección SQL en Nicola Asuni TCExam anterior a v11.3.009 permite a usuarios remotos autenticados con nivel 5 o mayores permisos, ejecutar comandos SQL de su elecc... • http://freecode.com/projects/tcexam/releases/347588 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •