CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-28115
https://notcve.org/view.php?id=CVE-2020-28115
SQL Injection vulnerability in "Documents component" found in AudimexEE version 14.1.0 allows an attacker to execute arbitrary SQL commands via the object_path parameter. Una vulnerabilidad de inyección SQL en "Documents component" que se encuentra en AudimexEE versión 14.1.0, permite a un atacante ejecutar comandos SQL arbitrarios por medio del parámetro object_path • https://github.com/piuppi/Proof-of-Concepts/blob/main/AudimexEE/README.md • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-28047
https://notcve.org/view.php?id=CVE-2020-28047
AudimexEE before 14.1.1 is vulnerable to Reflected XSS (Cross-Site-Scripting). If the recommended security configuration parameter "unique_error_numbers" is not set, remote attackers can inject arbitrary web script or HTML via 'action, cargo, panel' parameters that can lead to data leakage. AudimexEE versiones anteriores a 14.1.1, es vulnerable a un ataque de tipo XSS Reflejado (Cross-Site-Scripting). Si no se establece el parámetro de configuración de seguridad recomendado "unique_error_numbers", unos atacantes remotos pueden inyectar un script web o HTML arbitrario por medio de los parámetros "action, cargo, panel" que puede conllevar a una filtración de datos • https://github.com/piuppi/Proof-of-Concepts/blob/main/AudimexEE/Reflected-XSS.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •