CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14669
https://notcve.org/view.php?id=CVE-2019-14669
Firefly III 4.7.17.3 is vulnerable to stored XSS due to the lack of filtration of user-supplied data in the asset account name. The JavaScript code is executed during a visit to the audit account statistics page. Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el nombre de cuenta del activo. El código JavaScript es ejecutado durante una visita a la página de estadísticas de la cuenta de auditoría. • https://github.com/firefly-iii/firefly-iii/commit/2ddf48f15cbdbb475221c299872420f625c3bc3f https://github.com/firefly-iii/firefly-iii/issues/2366 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14670
https://notcve.org/view.php?id=CVE-2019-14670
Firefly III 4.7.17.3 is vulnerable to stored XSS due to the lack of filtration of user-supplied data in the bill name field. The JavaScript code is executed during rule-from-bill creation. Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el campo de nombre de factura. El código JavaScript es ejecutado durante la creación de la regla de factura. • https://github.com/firefly-iii/firefly-iii/commit/692b256f3f6d9eab992a72eb042844220b314054 https://github.com/firefly-iii/firefly-iii/issues/2365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14671
https://notcve.org/view.php?id=CVE-2019-14671
Firefly III 4.7.17.3 is vulnerable to local file enumeration. An attacker can enumerate local files due to the lack of protocol scheme sanitization, such as for file:/// URLs. This is related to fints_url to import/job/configuration, and import/create/fints. Firefly III versión 4.7.17.3, es vulnerable a la enumeración de archivos locales. Un atacante puede enumerar archivos locales debido a la falta de saneamiento del esquema de protocolo, tal y como para las URL file:///. • https://github.com/firefly-iii/firefly-iii/commit/e80d616ef4397e6e764f6b7b7a5b30121244933c https://github.com/firefly-iii/firefly-iii/issues/2367 • CWE-20: Improper Input Validation •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14672
https://notcve.org/view.php?id=CVE-2019-14672
Firefly III 4.7.17.5 is vulnerable to stored XSS due to the lack of filtration of user-supplied data in the liability name field. The JavaScript code is executed upon an error condition during a visit to the account show page. Firefly III versión 4.7.17.5, es vulnerable a un ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el campo de nombre de responsabilidad. El código JavaScript es ejecutado con una condición de error durante una visita a la página de presentación de la cuenta. • https://github.com/firefly-iii/firefly-iii/commit/8717f469b10e9f7e1547c6f70f7d24e1359d28d4 https://github.com/firefly-iii/firefly-iii/issues/2370 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-13647
https://notcve.org/view.php?id=CVE-2019-13647
Firefly III before 4.7.17.3 is vulnerable to stored XSS due to lack of filtration of user-supplied data in image file content. The JavaScript code is executed during attachments/view/$file_id$ attachment viewing. NOTE: It is asserted that an attacker must have the same access rights as the user in order to be able to execute the vulnerability ** EN DISPUTA ** Firefly III anterior a versión 4.7.17.3, es vulnerable a un problema de tipo XSS almacenado debido a la falta de filtrado de los datos suministrados por el usuario en el contenido del archivo de imagen. El código JavaScript se ejecuta durante la visualización de adjuntos del archivo attachments/view/$file_id$. NOTA: Se afirma que un atacante debe tener los mismos derechos de acceso que el usuario para poder ejecutar la vulnerabilidad. • https://github.com/firefly-iii/firefly-iii/compare/a70b7cc...7d482aa https://github.com/firefly-iii/firefly-iii/issues/2338 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •