CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2022-34618
https://notcve.org/view.php?id=CVE-2022-34618
A stored cross-site scripting (XSS) vulnerability in Mealie 1.0.0beta3 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the recipe description text field. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en Mealie versión 1.0.0beta3, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada inyectada en el campo de texto recipe description • https://cwe.mitre.org/data/definitions/79.html https://docs.mealie.io/changelog/v0.5.6 https://gainsec.com/2022/08/02/cve-2022-34613-cve-2022-34618-cve-2022-34619-xss-file-upload-and-more https://hub.docker.com/r/hkotel/mealie https://huntr.dev/bounties/aa610613-6ebb-4544-9aa6-046dc28fe4ff • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-32425
https://notcve.org/view.php?id=CVE-2022-32425
The login function of Mealie v1.0.0beta-2 allows attackers to enumerate existing usernames by timing the server's response time. La función login de Mealie versión v1.0.0beta-2, permite a atacantes enumerar los nombres de usuario existentes al cronometrar el tiempo de respuesta del servidor • https://github.com/hay-kot/mealie/issues/1336 • CWE-203: Observable Discrepancy •