CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14670
https://notcve.org/view.php?id=CVE-2019-14670
Firefly III 4.7.17.3 is vulnerable to stored XSS due to the lack of filtration of user-supplied data in the bill name field. The JavaScript code is executed during rule-from-bill creation. Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el campo de nombre de factura. El código JavaScript es ejecutado durante la creación de la regla de factura. • https://github.com/firefly-iii/firefly-iii/commit/692b256f3f6d9eab992a72eb042844220b314054 https://github.com/firefly-iii/firefly-iii/issues/2365 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14671
https://notcve.org/view.php?id=CVE-2019-14671
Firefly III 4.7.17.3 is vulnerable to local file enumeration. An attacker can enumerate local files due to the lack of protocol scheme sanitization, such as for file:/// URLs. This is related to fints_url to import/job/configuration, and import/create/fints. Firefly III versión 4.7.17.3, es vulnerable a la enumeración de archivos locales. Un atacante puede enumerar archivos locales debido a la falta de saneamiento del esquema de protocolo, tal y como para las URL file:///. • https://github.com/firefly-iii/firefly-iii/commit/e80d616ef4397e6e764f6b7b7a5b30121244933c https://github.com/firefly-iii/firefly-iii/issues/2367 • CWE-20: Improper Input Validation •