CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2021-44966
https://notcve.org/view.php?id=CVE-2021-44966
SQL injection bypass authentication vulnerability in PHPGURUKUL Employee Record Management System 1.2 via index.php. An attacker can log in as an admin account of this system and can destroy, change or manipulate all sensitive information on the system. Una vulnerabilidad de omisión de autenticación por inyección SQL en PHPGURUKUL Employee Record Management System versión 1.2 por medio del archivo index.php. Un atacante puede iniciar sesión como una cuenta de administrador de este sistema y puede destruir, cambiar o manipular toda la información confidencial del sistema • https://github.com/nu11secur1ty/CVE-nu11secur1ty/tree/main/vendors/PHPGURUKUL/ANUJ%20KUMAR/Employee-Record-Management-System-SQL-Injection-Bypass-Authentication • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-43137
https://notcve.org/view.php?id=CVE-2021-43137
Cross-Site Scripting (XSS) and Cross-Site Request Forgery (CSRF) vulnerability exits in hostel management system 2.1 via the name field in my-profile.php. Chaining to this both vulnerabilities leads to account takeover. Una vulnerabilidad de tipo Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF) se presenta en hostel management system versión 2.1, por medio del campo name en el archivo my-profile.php. El encadenamiento de ambas vulnerabilidades conlleva a una toma de posesión de la cuenta • https://www.exploit-db.com/exploits/50461 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 2CVE-2021-43451
https://notcve.org/view.php?id=CVE-2021-43451
SQL Injection vulnerability exists in PHPGURUKUL Employee Record Management System 1.2 via the Email POST parameter in /forgetpassword.php. Se presenta una vulnerabilidad de inyección SQL en PHPGURUKUL Employee Record Management System versión 1.2, por medio del parámetro Email POST en el archivo /forgetpassword.php • https://github.com/nu11secur1ty/CVE-nu11secur1ty/tree/main/vendors/PHPGURUKUL/ANUJ%20KUMAR/Employee-Record-Management-System-SQL-Injection https://www.exploit-db.com/exploits/50467 https://www.nu11secur1ty.com/2021/12/cve-2021-43451.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-39411
https://notcve.org/view.php?id=CVE-2021-39411
Multiple Cross Site Scripting (XSS) vulnerabilities exist in PHPGurukul Hospital Management System 4.0 via the (1) searchdata parameter in (a) doctor/search.php and (b) admin/patient-search.php, and the (2) fromdate and (3) todate parameters in admin/betweendates-detailsreports.php. Se presentan múltiples vulnerabilidades de tipo Cross Site Scripting (XSS) en PHPGurukul Hospital Management System versión 4.0, por medio del parámetro (1) searchdata en (a) el archivo doctor/search.php y (b) admin/patient-search.php, y los parámetros (2) fromdate y (3) todate en el archivo admin/betweendates-detailsreports.php • https://sisl.lab.uic.edu/projects/chess/hmsp • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 1%CPEs: 1EXPL: 2CVE-2021-37808
https://notcve.org/view.php?id=CVE-2021-37808
SQL Injection vulnerabilities exist in https://phpgurukul.com News Portal Project 3.1 via the (1) category, (2) subcategory, (3) sucatdescription, and (4) username parameters, the server response is about (N) seconds delay respectively which mean it is vulnerable to MySQL Blind (Time Based). An attacker can use sqlmap to further the exploitation for extracting sensitive information from the database. Se presentan vulnerabilidades de inyección SQL en https://phpgurukul.com News Portal Project versión 3.1, por medio de los parámetros (1) category, (2) subcategory, (3) sucatdescription, y (4) username, la respuesta del servidor presenta un retraso de (N) segundos respectivamente lo que significa que es vulnerable a MySQL Blind (Time Based). Un atacante puede usar sqlmap para avanzar en la explotación para extraer información confidencial de la base de datos • https://github.com/nu11secur1ty/CVE-mitre/tree/main/CVE-2021-37808 https://packetstormsecurity.com/files/163575/News-Portal-Project-3.1-SQL-Injection.html https://www.nu11secur1ty.com/2021/12/cve-2021-37808.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •