CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2017-12080
https://notcve.org/view.php?id=CVE-2017-12080
An information exposure vulnerability in default HTTP configuration file in Synology Photo Station before 6.8.1-3458 and before 6.3-2970 allows remote attackers to obtain sensitive system information via .htaccess file. Una vulnerabilidad de exposición de información en el archivo de configuración HTTP por defecto en Synology Photo Station en versiones anteriores a la 6.8.1-3458 y a la 6.3-2970 permite que atacantes remotos obtengan información sensible del sistema mediante el archivo .htaccess. • https://www.synology.com/en-global/support/security/Synology_SA_17_63_Photo_Station • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2017-11161
https://notcve.org/view.php?id=CVE-2017-11161
Multiple SQL injection vulnerabilities in Synology Photo Station before 6.7.4-3433 and 6.3-2968 allow remote attackers to execute arbitrary SQL commands via the (1) article_id parameter to label.php; or (2) type parameter to synotheme.php. Existen múltiples vulnerabilidades de inyección SQL en Synology Photo Station en versiones anteriores a la 6.7.4-3433 y 6.3-2968 que permiten que los atacantes remotos ejecuten comandos SQL arbitrarios mediante (1) el parámetro article_id en label.php; o (2) el parámetro type en synotheme.php. • https://www.synology.com/en-global/support/security/Synology_SA_17_35_PhotoStation • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-11162
https://notcve.org/view.php?id=CVE-2017-11162
Directory traversal vulnerability in synphotoio in Synology Photo Station before 6.7.4-3433 and 6.3-2968 allows remote authenticated users to read arbitrary files via unspecified vectors. Una vulnerabilidad de salto de directorio en synphotoio en Synology Photo Station en versiones anteriores a la 6.7.4-3433 y a la 6.3-2968 permite que atacantes remotos autenticados lean archivos arbitrarios mediante vectores no especificados. • https://www.synology.com/en-global/support/security/Synology_SA_17_35_PhotoStation • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-12071
https://notcve.org/view.php?id=CVE-2017-12071
Server-side request forgery (SSRF) vulnerability in file_upload.php in Synology Photo Station before 6.7.4-3433 and 6.3-2968 allows remote authenticated users to download arbitrary local files via the url parameter. Una vulnerabilidad Server-Side Request Forgery (SSRF) en file_upload.php en Synology Photo Station en versiones anteriores a la 6.7.4-3433 y 6.3-2968 permite que usuarios remotos autenticados descarguen archivos locales arbitrarios mediante el parámetro url. • https://www.synology.com/en-global/support/security/Synology_SA_17_35_PhotoStation • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2017-11152 – Synology Photo Station 6.7.3-3432 / 6.3-2967 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2017-11152
Directory traversal vulnerability in PixlrEditorHandler.php in Synology Photo Station before 6.7.3-3432 and 6.3-2967 allows remote attackers to write arbitrary files via the path parameter. Una vulnerabilidad de salto de directorio en PixlrEditorHandler.php en Synology Photo Station en versiones anteriores a la 6.7.3-3432 y a la 6.3-2967 permite que atacantes remotos escriban archivos arbitrarios mediante el parámetro path. Synology Photo Station versions 6.7.3-3432 and 6.3-2967 suffer from a code execution vulnerability. • https://www.exploit-db.com/exploits/42434 https://www.synology.com/en-global/support/security/Synology_SA_17_34_PhotoStation • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •