CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-44565
https://notcve.org/view.php?id=CVE-2021-44565
A Cross Site Scripting (XSS) vulnerability exists in RosarioSIS before 7.6.1 via the xss_clean function in classes/Security.php, which allows remote malicious users to inject arbitrary JavaScript or HTML. An example of affected components are all Markdown input fields. Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en RosarioSIS versiones anteriores a 7.6.1, por medio de la función xss_clean en el archivo classes/Security.php, que permite a usuarios remotos maliciosos inyectar JaveScript arbitrario de HTML.Un ejemplo de los componentes afectados son todos los campos de entrada de Markdown • https://gitlab.com/francoisjacquet/rosariosis/-/blob/mobile/CHANGES.md#changes-in-761 https://gitlab.com/francoisjacquet/rosariosis/-/commit/0f5d1f1d193bc6b711d1644f172579d498ec1636 https://gitlab.com/francoisjacquet/rosariosis/-/issues/307 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 1CVE-2021-44427
https://notcve.org/view.php?id=CVE-2021-44427
An unauthenticated SQL Injection vulnerability in Rosario Student Information System (aka rosariosis) before 8.1.1 allows remote attackers to execute PostgreSQL statements (e.g., SELECT, INSERT, UPDATE, and DELETE) through /Side.php via the syear parameter. Una vulnerabilidad de inyección SQL no autenticada en Rosario Student Information System (también se conoce como rosariosis) versiones anteriores a 8.1.1 permite a atacantes remotos ejecutar sentencias PostgreSQL (por ejemplo, SELECT, INSERT, UPDATE y DELETE) mediante el archivo /Side.php por medio del parámetro syear • https://gitlab.com/francoisjacquet/rosariosis/-/issues/328 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2020-15721
https://notcve.org/view.php?id=CVE-2020-15721
RosarioSIS through 6.8-beta allows modules/Custom/NotifyParents.php XSS because of the href attributes for AddStudents.php and User.php. RosarioSIS versiones hasta 6.8-beta, permite un ataque de tipo XSS en el archivo modules/Custom/NotifyParents.php, debido a los atributos href para los archivos AddStudents.php y User.php • https://gitlab.com/francoisjacquet/rosariosis/-/blob/mobile/CHANGES.md https://gitlab.com/francoisjacquet/rosariosis/-/commit/c4a694860b50c4aa5c67d6568f7d0613fef1a30d https://gitlab.com/francoisjacquet/rosariosis/-/issues/291 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •