CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 2CVE-2020-27358
https://notcve.org/view.php?id=CVE-2020-27358
An issue was discovered in REDCap 8.11.6 through 9.x before 10. The messenger's CSV feature (that allows users to export their conversation threads as CSV) allows non-privileged users to export one another's conversation threads by changing the thread_id parameter in the request to the endpoint Messenger/messenger_download_csv.php?title=Hey&thread_id={THREAD_ID}. Se detectó un problema en REDCap versiones 8.11.6 hasta 9.x anteriores a 10. La funcionalidad CSV de messenger (que permite a usuarios exportar sus hilos de conversación como CSV) permite a usuarios no privilegiados exportar los hilos de conversación de los demás al cambiar el parámetro thread_id en la petición para el endpoint Messenger/messenger_download_csv.php? • https://github.com/seb1055/cve-2020-27358-27359 https://www.evms.edu/research/resources_services/redcap/redcap_change_log https://www.ruse.tech/blog/38 • CWE-276: Incorrect Default Permissions •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17121
https://notcve.org/view.php?id=CVE-2019-17121
REDCap before 9.3.4 has XSS on the Customize & Manage Locking/E-signatures page via Lock Record Custom Text values. REDCap versiones anteriores a 9.3.4, presenta una vulnerabilidad de tipo XSS en la página Customize & Manage Locking/E-signatures por medio de valores Lock Record Custom Text. • https://www.evms.edu/research/resources_services/redcap/redcap_change_log • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15127
https://notcve.org/view.php?id=CVE-2019-15127
REDCap before 9.3.0 allows XSS attacks against non-administrator accounts on the Data Import Tool page via a CSV data import file. REDCap anterior a la versión 9.3.0 permite ataques XSS contra cuentas que no son de administrador en la página Herramienta de importación de datos a través de un archivo de importación de datos CSV. • https://www.evms.edu/research/resources_services/redcap/redcap_change_log • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14937
https://notcve.org/view.php?id=CVE-2019-14937
REDCap before 9.3.0 allows time-based SQL injection in the edit calendar event via the cal_id parameter, such as cal_id=55 and sleep(3) to Calendar/calendar_popup_ajax.php. The attacker can obtain a user's login sessionid from the database, and then re-login into REDCap to compromise all data. REDCap versiones anteriores a 9.3.0, permite la inyección SQL basada en tiempo en el evento de edición de calendario por medio del parámetro cal_id, tales como cal_id=55 y sleep(3) en el archivo Calendar/calendar_popup_ajax.php. El atacante puede obtener un sessionid del inicio de sesión de un usuario desde la base de datos y luego volver a iniciar sesión en REDCap para comprometer todos los datos. • https://gist.github.com/hiennv20/6739606a4d0d25612f5139ec391060b7 https://projectredcap.org/resources/community https://www.evms.edu/research/resources_services/redcap/redcap_change_log • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13029 – REDCap < 9.1.2 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2019-13029
Multiple stored Cross-site scripting (XSS) issues in the admin panel and survey system in REDCap 8 before 8.10.20 and 9 before 9.1.2 allow an attacker to inject arbitrary malicious HTML or JavaScript code into a user's web browser. Múltiples problemas de tipo cross-site-scripting (XSS) almacenados en el panel de administración y el sistema de encuestas en REDCap versiones 8 anteriores a 8.10.20 y versiones 9 anteriores a 9.1.2, permiten a un atacante inyectar código HTML o JavaScript malicioso y arbitrario en el navegador web de un usuario. REDCap versions prior to 9.1.2 suffer from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/47146 http://packetstormsecurity.com/files/153691/REDCap-Cross-Site-Scripting.html https://gitlab.com/snippets/1874216 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •