CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15127
https://notcve.org/view.php?id=CVE-2019-15127
REDCap before 9.3.0 allows XSS attacks against non-administrator accounts on the Data Import Tool page via a CSV data import file. REDCap anterior a la versión 9.3.0 permite ataques XSS contra cuentas que no son de administrador en la página Herramienta de importación de datos a través de un archivo de importación de datos CSV. • https://www.evms.edu/research/resources_services/redcap/redcap_change_log • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14937
https://notcve.org/view.php?id=CVE-2019-14937
REDCap before 9.3.0 allows time-based SQL injection in the edit calendar event via the cal_id parameter, such as cal_id=55 and sleep(3) to Calendar/calendar_popup_ajax.php. The attacker can obtain a user's login sessionid from the database, and then re-login into REDCap to compromise all data. REDCap versiones anteriores a 9.3.0, permite la inyección SQL basada en tiempo en el evento de edición de calendario por medio del parámetro cal_id, tales como cal_id=55 y sleep(3) en el archivo Calendar/calendar_popup_ajax.php. El atacante puede obtener un sessionid del inicio de sesión de un usuario desde la base de datos y luego volver a iniciar sesión en REDCap para comprometer todos los datos. • https://gist.github.com/hiennv20/6739606a4d0d25612f5139ec391060b7 https://projectredcap.org/resources/community https://www.evms.edu/research/resources_services/redcap/redcap_change_log • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-13029 – REDCap < 9.1.2 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2019-13029
Multiple stored Cross-site scripting (XSS) issues in the admin panel and survey system in REDCap 8 before 8.10.20 and 9 before 9.1.2 allow an attacker to inject arbitrary malicious HTML or JavaScript code into a user's web browser. Múltiples problemas de tipo cross-site-scripting (XSS) almacenados en el panel de administración y el sistema de encuestas en REDCap versiones 8 anteriores a 8.10.20 y versiones 9 anteriores a 9.1.2, permiten a un atacante inyectar código HTML o JavaScript malicioso y arbitrario en el navegador web de un usuario. REDCap versions prior to 9.1.2 suffer from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/47146 http://packetstormsecurity.com/files/153691/REDCap-Cross-Site-Scripting.html https://gitlab.com/snippets/1874216 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7351
https://notcve.org/view.php?id=CVE-2017-7351
A SQL injection issue exists in a file upload handler in REDCap 7.x before 7.0.11 via a trailing substring to SendITController:upload. Existe un problema de inyección SQL en un manipulador de subida de archivos en REDCap, en versiones 7.x anteriores a la 7.0.11, mediante una subcadena final a SendITController:upload. • https://labs.nettitude.com/blog/cve-2017-7351-redcap-7-0-0-7-0-10-sql-injection • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-10961
https://notcve.org/view.php?id=CVE-2017-10961
REDCap before 7.5.1 has CSRF in the deletion feature of the File Repository and File Upload components. REDCap anterior a versión 7.5.1, presenta un problema de tipo CSRF en la función deletion de los componentes File Repository y File Upload. • https://community.projectredcap.org/articles/13/changelog-standard-release.html https://gist.github.com/jordanpotti/fef4f1ada404d5ba7f88ab42e93cdaae • CWE-352: Cross-Site Request Forgery (CSRF) •