CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5743
https://notcve.org/view.php?id=CVE-2020-5743
07 May 2020 — Improper Control of Resource Identifiers in TCExam 14.2.2 allows a remote, authenticated attacker to access test metadata for which they don't have permission. Un Control Inapropiado de los Identificadores de Recursos en TCExam versión 14.2.2, permite a un atacante remoto autenticado acceder a metadatos de prueba para los que no tiene permiso. • https://www.tenable.com/security/research/tra-2020-31 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5744
https://notcve.org/view.php?id=CVE-2020-5744
07 May 2020 — Relative Path Traversal in TCExam 14.2.2 allows a remote, authenticated attacker to read the contents of arbitrary files on disk. Un Salto de Ruta Relativa en TCExam versión 14.2.2, permite a un atacante remoto autenticado leer el contenido de archivos arbitrarios en el disco. • https://www.tenable.com/security/research/tra-2020-31 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-5747
https://notcve.org/view.php?id=CVE-2020-5747
07 May 2020 — Insufficient output sanitization in TCExam 14.2.2 allows a remote, authenticated attacker to conduct persistent cross-site scripting (XSS) attacks by creating a crafted test. Un saneamiento de la salida insuficiente en TCExam versión 14.2.2, permite a un atacante remoto autenticado conducir ataques de tipo cross-site scripting (XSS) persistente mediante la creación de una prueba diseñada. • https://www.tenable.com/security/research/tra-2020-31 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 10%CPEs: 2EXPL: 2CVE-2018-17057 – LimeSurvey < 3.16 - Remote Code Execution
https://notcve.org/view.php?id=CVE-2018-17057
14 Sep 2018 — An issue was discovered in TCPDF before 6.2.22. Attackers can trigger deserialization of arbitrary data via the phar:// wrapper. Se ha descubierto un problema en TCPDF en versiones anteriores a la 6.2.22. Los atacantes pueden desencadenar la deserialización de datos arbitrarios mediante el wrapper phar: . TCPDF versions 6.2.19 and below suffer from a deserialization vulnerability that can allow for remote code execution. • https://www.exploit-db.com/exploits/46634 • CWE-502: Deserialization of Untrusted Data •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-13422
https://notcve.org/view.php?id=CVE-2018-13422
07 Jul 2018 — TCExam before 14.1.2 has XSS via an ff_ or xl_ field. TCExam en versiones anteriores a la 14.1.2 tiene Cross-Site Scripting (XSS) mediante un campo ff_ or xl_. • https://github.com/tecnickcom/tcexam/pull/223 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 102EXPL: 0CVE-2012-4602
https://notcve.org/view.php?id=CVE-2012-4602
23 Nov 2012 — Multiple cross-site scripting (XSS) vulnerabilities in admin/code/tce_select_users_popup.php in Nicola Asuni TCExam before 11.3.009 allow remote attackers to inject arbitrary web script or HTML via the (1) cid or (2) uids parameter. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/code/tce_select_users_popup.php en Nicola Asuni TCExam anterior a v11.3.009, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetro (1) cid o... • http://freecode.com/projects/tcexam/releases/347588 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 102EXPL: 1CVE-2012-4601
https://notcve.org/view.php?id=CVE-2012-4601
23 Nov 2012 — Multiple SQL injection vulnerabilities in Nicola Asuni TCExam before 11.3.009 allow remote authenticated users with level 5 or greater permissions to execute arbitrary SQL commands via the (1) user_groups[] parameter to admin/code/tce_edit_test.php or (2) subject_id parameter to admin/code/tce_show_all_questions.php. Multiples vulnerabilidades de inyección SQL en Nicola Asuni TCExam anterior a v11.3.009 permite a usuarios remotos autenticados con nivel 5 o mayores permisos, ejecutar comandos SQL de su elecc... • http://freecode.com/projects/tcexam/releases/347588 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 101EXPL: 2CVE-2012-4238 – TCExam 11.3.007 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2012-4238
14 Aug 2012 — Cross-site scripting (XSS) vulnerability in admin/code/tce_edit_answer.php in TCExam before 11.3.008 allows remote authenticated users with level 5 or greater permissions to inject arbitrary web script or HTML via the question_subject_id parameter. Vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en admin/code/tce_edit_answer.php en TCExam anterior a v11.3.008 permite a usuarios autenticados con nivel 5 o permisos superiores, inyectar código web o HTML arbitrario a través del parámetro quest... • http://archives.neohapsis.com/archives/bugtraq/2012-08/0090.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 101EXPL: 5CVE-2012-4237 – TCExam 11.2.x - '/admin/code/tce_edit_answer.php' Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2012-4237
14 Aug 2012 — Multiple SQL injection vulnerabilities in TCExam before 11.3.008 allow remote authenticated users with level 5 or greater permissions to execute arbitrary SQL commands via the subject_module_id parameter to (1) tce_edit_answer.php or (2) tce_edit_question.php. Múltiples vulnerabilidades inyección de código SQL en TCExam anterior a v11.3.008 permite a usuarios remotos autenticados con nivel 5 o permisos superiores ejecutar comandos SQL arbitrarios a través del parámetro subject_module_id en (1) tce_edit_answ... • https://www.exploit-db.com/exploits/37584 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3806
https://notcve.org/view.php?id=CVE-2011-3806
24 Sep 2011 — TCExam 11.1.015 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by public/code/tce_page_footer.php and certain other files. TCExam v11.1.015 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con public/code/tce_page_footer.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •