CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-44565
https://notcve.org/view.php?id=CVE-2021-44565
A Cross Site Scripting (XSS) vulnerability exists in RosarioSIS before 7.6.1 via the xss_clean function in classes/Security.php, which allows remote malicious users to inject arbitrary JavaScript or HTML. An example of affected components are all Markdown input fields. Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en RosarioSIS versiones anteriores a 7.6.1, por medio de la función xss_clean en el archivo classes/Security.php, que permite a usuarios remotos maliciosos inyectar JaveScript arbitrario de HTML.Un ejemplo de los componentes afectados son todos los campos de entrada de Markdown • https://gitlab.com/francoisjacquet/rosariosis/-/blob/mobile/CHANGES.md#changes-in-761 https://gitlab.com/francoisjacquet/rosariosis/-/commit/0f5d1f1d193bc6b711d1644f172579d498ec1636 https://gitlab.com/francoisjacquet/rosariosis/-/issues/307 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2021-45416
https://notcve.org/view.php?id=CVE-2021-45416
Reflected Cross-site scripting (XSS) vulnerability in RosarioSIS 8.2.1 allows attackers to inject arbitrary HTML via the search_term parameter in the modules/Scheduling/Courses.php script. Una vulnerabilidad de tipo Cross-site scripting (XSS) Reflejado en RosarioSIS versión 8.2.1, permite a atacantes inyectar HTML arbitrario por medio del parámetro search_term en el script modules/Scheduling/Courses.php • https://github.com/86x/CVE-2021-45416 https://github.com/dnr6419/CVE-2021-45416 http://rosariosis.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 1CVE-2021-44427
https://notcve.org/view.php?id=CVE-2021-44427
An unauthenticated SQL Injection vulnerability in Rosario Student Information System (aka rosariosis) before 8.1.1 allows remote attackers to execute PostgreSQL statements (e.g., SELECT, INSERT, UPDATE, and DELETE) through /Side.php via the syear parameter. Una vulnerabilidad de inyección SQL no autenticada en Rosario Student Information System (también se conoce como rosariosis) versiones anteriores a 8.1.1 permite a atacantes remotos ejecutar sentencias PostgreSQL (por ejemplo, SELECT, INSERT, UPDATE y DELETE) mediante el archivo /Side.php por medio del parámetro syear • https://gitlab.com/francoisjacquet/rosariosis/-/issues/328 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15718
https://notcve.org/view.php?id=CVE-2020-15718
RosarioSIS 6.7.2 is vulnerable to XSS, caused by improper validation of user-supplied input by the PrintSchedules.php script. A remote attacker could exploit this vulnerability using the include_inactive parameter in a crafted URL. RosarioSIS versiones 6.7.2, es vulnerable a un ataque de tipo XSS, causado por una comprobación inapropiada de la entrada suministrada por el usuario mediante el script PrintSchedules.php. Un atacante remoto podría explotar esta vulnerabilidad usando el parámetro include_inactive en una URL diseñada • https://exchange.xforce.ibmcloud.com/vulnerabilities/184944 https://gitlab.com/francoisjacquet/rosariosis/-/blob/mobile/CHANGES.md https://gitlab.com/francoisjacquet/rosariosis/-/commit/89ae9de732024e3a2e99262aa98b400a1aa6975a https://gitlab.com/francoisjacquet/rosariosis/-/issues/291 https://gitlab.com/francoisjacquet/rosariosis/-/tags/v6.8-beta • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15717
https://notcve.org/view.php?id=CVE-2020-15717
RosarioSIS 6.7.2 is vulnerable to XSS, caused by improper validation of user-supplied input by the Search.inc.php script. A remote attacker could exploit this vulnerability using the advanced parameter in a crafted URL. RosarioSIS versión 6.7.2, es vulnerable a un ataque de tipo XSS, causado por una comprobación inapropiada de la entrada suministrada por el usuario mediante el script Search.inc.php. Un atacante remoto podría explotar esta vulnerabilidad usando el parámetro advanced en una URL diseñada • https://exchange.xforce.ibmcloud.com/vulnerabilities/184943 https://gitlab.com/francoisjacquet/rosariosis/-/blob/mobile/CHANGES.md https://gitlab.com/francoisjacquet/rosariosis/-/commit/89ae9de732024e3a2e99262aa98b400a1aa6975a https://gitlab.com/francoisjacquet/rosariosis/-/issues/291 https://gitlab.com/francoisjacquet/rosariosis/-/tags/v6.8-beta • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •