CVSS: 6.3EPSS: 0%CPEs: 1EXPL: 1CVE-2023-1463 – Authorization Bypass Through User-Controlled Key in nilsteampassnet/teampass
https://notcve.org/view.php?id=CVE-2023-1463
17 Mar 2023 — Authorization Bypass Through User-Controlled Key in GitHub repository nilsteampassnet/teampass prior to 3.0.0.23. • https://github.com/nilsteampassnet/teampass/commit/4e06fbaf2b78c3615d0599855a72ba7e31157516 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2023-1070 – External Control of File Name or Path in nilsteampassnet/teampass
https://notcve.org/view.php?id=CVE-2023-1070
27 Feb 2023 — External Control of File Name or Path in GitHub repository nilsteampassnet/teampass prior to 3.0.0.22. • https://github.com/nilsteampassnet/teampass/commit/0af3574caba27a61b16dc25c94fa51ae12d2d967 • CWE-73: External Control of File Name or Path •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2022-26980
https://notcve.org/view.php?id=CVE-2022-26980
28 Mar 2022 — Teampass 2.1.26 allows reflected XSS via the index.php PATH_INFO. Teampass versión 2.1.26, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el archivo index.php • https://gist.github.com/RNPG/6919286e0daebce7634d0a744e060dca • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11671
https://notcve.org/view.php?id=CVE-2020-11671
04 May 2020 — Lack of authorization controls in REST API functions in TeamPass through 2.1.27.36 allows any TeamPass user with a valid API token to become a TeamPass administrator and read/modify all passwords via authenticated api/index.php REST API calls. NOTE: the API is not available by default. La falta de controles de autorización en las funciones de la API REST en TeamPass versiones hasta 2.1.27.36, permite a cualquier usuario de TeamPass con un token de API válido convertirse en administrador de TeamPass y leer y... • https://github.com/nilsteampassnet/TeamPass/issues/2765 • CWE-862: Missing Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-12477
https://notcve.org/view.php?id=CVE-2020-12477
29 Apr 2020 — The REST API functions in TeamPass 2.1.27.36 allow any user with a valid API token to bypass IP address whitelist restrictions via an X-Forwarded-For client HTTP header to the getIp function. Las funciones de la API REST en TeamPass versión 2.1.27.36, permiten a cualquier usuario con un token de API válido omitir las restricciones de la lista blanca de direcciones IP por medio de un encabezado HTTP del cliente X-Fordered-For en la función getIp. • https://github.com/nilsteampassnet/TeamPass/issues/2761 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 1CVE-2020-12478
https://notcve.org/view.php?id=CVE-2020-12478
29 Apr 2020 — TeamPass 2.1.27.36 allows an unauthenticated attacker to retrieve files from the TeamPass web root. This may include backups or LDAP debug files. TeamPass versión 2.1.27.36, permite a un atacante no autenticado recuperar archivos de la web root de TeamPass. Esto puede incluir copias de seguridad o archivos de depuración de LDAP. • https://github.com/nilsteampassnet/TeamPass/issues/2764 • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-12479
https://notcve.org/view.php?id=CVE-2020-12479
29 Apr 2020 — TeamPass 2.1.27.36 allows any authenticated TeamPass user to trigger a PHP file include vulnerability via a crafted HTTP request with sources/users.queries.php newValue directory traversal. TeamPass versión 2.1.27.36, permite que cualquier usuario autenticado de TeamPass desencadene una vulnerabilidad de inclusión de archivos PHP por medio de una petición HTTP diseñada con un salto de directorio de newValue del archivo sources/users.queries.php. • https://github.com/nilsteampassnet/TeamPass/issues/2762 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17203
https://notcve.org/view.php?id=CVE-2019-17203
05 Oct 2019 — TeamPass 2.1.27.36 allows Stored XSS at the Search page by setting a crafted password for an item in any folder. TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado en la página de Búsqueda mediante el establecimiento de una contraseña diseñada para un elemento en cualquier carpeta. • https://github.com/nilsteampassnet/TeamPass/issues/2690 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17204
https://notcve.org/view.php?id=CVE-2019-17204
05 Oct 2019 — TeamPass 2.1.27.36 allows Stored XSS by setting a crafted Knowledge Base label and adding any available item. TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al establecer una etiqueta de base de conocimiento diseñada y agregar cualquier elemento disponible. • https://github.com/nilsteampassnet/TeamPass/issues/2689 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17205
https://notcve.org/view.php?id=CVE-2019-17205
05 Oct 2019 — TeamPass 2.1.27.36 allows Stored XSS by placing a payload in the username field during a login attempt. When an administrator looks at the log of failed logins, the XSS payload will be executed. TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al colocar una carga útil en el campo username durante un intento de inicio de sesión. Cuando un administrador mira el registro de inicios de sesión fallidos, será ejecutada la carga útil de tipo XSS. • https://github.com/nilsteampassnet/TeamPass/issues/2688 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •