CVE-2018-13299
https://notcve.org/view.php?id=CVE-2018-13299
Relative path traversal vulnerability in Attachment Uploader in Synology Calendar before 2.2.2-0532 allows remote authenticated users to upload arbitrary files via the filename parameter. Una vulnerabilidad de salto de directorio relativo en el actualizador de adjuntos en Synology Calendar, en versiones anteriores a la 2.2.2-0532, permite a los usuarios remotos autenticados subir archivos arbitrarios mediante el parámetro "filename". • https://www.synology.com/security/advisory/Synology_SA_18_54 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23: Relative Path Traversal •
CVE-2018-18872 – Calendar <= 1.3.10 - Authenticated Stored Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2018-18872
The Kieran O'Shea Calendar plugin before 1.3.11 for WordPress has Stored XSS via the event_title parameter in a wp-admin/admin.php?page=calendar add action, or the category name during category creation at the wp-admin/admin.php?page=calendar-categories URI. Kieran O'Shea Calendar plugin anterior a la versión 1.3.11 para WordPress, tiene un XSS guardado mediante el parámetro event_title en un archivo wp-admin/admin.php?Page=calendar agrega acción, o el nombre de la categoría durante la creación de la categoría en el URI wp-admin/admin.php? • https://wpvulndb.com/vulnerabilities/9141 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-3763
https://notcve.org/view.php?id=CVE-2018-3763
In Nextcloud Calendar before 1.5.8 and 1.6.1, a missing sanitization of search results for an autocomplete field could lead to a stored XSS requiring user-interaction. The missing sanitization only affected group names, hence malicious search results could only be crafted by privileged users like admins or group admins. En Nextcloud Calendar en versiones anteriores a la 1.5.8 y la 1.6.1, la falta de saneamiento de los resultados de búsqueda de un campo de autocompletar podría conducir a Cross-Site Scripting (XSS) persistente que requiere interacción del usuario. La falta de saneamiento solo afectó a los nombres de grupo, por lo que los resultados de búsqueda maliciosos solo podrían ser manipulados por usuarios privilegiados como los administradores o los administradores de grupo. • https://nextcloud.com/security/advisory/?id=nc-sa-2018-004 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-8927
https://notcve.org/view.php?id=CVE-2018-8927
Improper authorization vulnerability in SYNO.Cal.Event in Calendar before 2.1.2-0511 allows remote authenticated users to create arbitrary events via the (1) cal_id or (2) original_cal_id parameter. Vulnerabilidad de autorización indebida en SYNO.Cal.Event en Calendar en versiones anteriores a la 2.1.2-0511 permite que usuarios remotos autenticados creen eventos arbitrarios mediante los parámetros (1) cal_id o (2) original_cal_id. • https://www.synology.com/en-global/support/security/Synology_SA_18_16 • CWE-863: Incorrect Authorization •
CVE-2018-8915
https://notcve.org/view.php?id=CVE-2018-8915
Cross-site scripting (XSS) vulnerability in Notification Center in Synology Calendar before 2.1.1-0502 allows remote authenticated users to inject arbitrary web script or HTML via title parameter. Vulnerabilidad de Cross-Site Scripting (XSS) en Notification Center en Synology Calendar en versiones anteriores a la 2.1.1-0502 permite que atacantes remotos autenticados inyecten scripts web o HTML arbitrarios mediante el parámetro title. • https://www.synology.com/en-global/support/security/Synology_SA_18_06 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •