CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-12530
https://notcve.org/view.php?id=CVE-2018-12530
18 Jun 2018 — An issue was discovered in MetInfo 6.0.0. admin/app/batch/csvup.php allows remote attackers to delete arbitrary files via a flienamecsv=../ directory traversal. This can be exploited via CSRF. Se ha descubierto un problema en MetInfo 6.0.0. admin/app/batch/csvup.php permite que atacantes remotos eliminen archivos arbitrarios mediante un salto de directorio en flienamecsv=../. Esto puede explotarse mediante Cross-Site Request Forgery (CSRF). • https://github.com/summ3rf/Vulner/blob/master/Metinfo.md • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.8EPSS: 3%CPEs: 1EXPL: 1CVE-2018-12531
https://notcve.org/view.php?id=CVE-2018-12531
18 Jun 2018 — An issue was discovered in MetInfo 6.0.0. install\index.php allows remote attackers to write arbitrary PHP code into config_db.php, a different vulnerability than CVE-2018-7271. Se ha descubierto un problema en MetInfo 6.0.0. install\index.php permite que atacantes remotos escriban código PHP arbitrario en config_db.php. Esta vulnerabilidad es diferente de CVE-2018-7271. • https://github.com/summ3rf/Vulner/blob/master/Metinfo.md • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-9985
https://notcve.org/view.php?id=CVE-2018-9985
10 Apr 2018 — The front page of MetInfo 6.0 allows XSS by sending a feedback message to an administrator. La página principal de MetInfo 6.0 permite Cross-Site Scripting (XSS) mediante el envío de un mensaje de feedback a un administrador. • https://github.com/learnsec6/test/issues/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 2CVE-2018-9934
https://notcve.org/view.php?id=CVE-2018-9934
10 Apr 2018 — The reset-password feature in MetInfo 6.0 allows remote attackers to change arbitrary passwords via vectors involving a Host HTTP header that is modified to specify a web server under the attacker's control. La característica reset-password en MetInfo 6.0 permite que atacantes remotos cambien contraseñas arbitrarias mediante vectores relacionados con una cabecera de Host HTTP que se modifica para especificar un servidor web bajo el control del atacante. • http://www.cnblogs.com/babers/p/8503116.html •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-9928
https://notcve.org/view.php?id=CVE-2018-9928
10 Apr 2018 — Cross-site scripting (XSS) vulnerability in save.php in MetInfo 6.0 allows remote attackers to inject arbitrary web script or HTML via the webname or weburl parameter. Vulnerabilidad de Cross-Site Scripting (XSS) en save.php en MetInfo 6.0 permite que atacantes remotos inyecten scripts web o HTML arbitrarios mediante los parámetros webname o weburl. • https://github.com/Sm1L3ing/xss-in-metinfo/blob/master/README.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-7721
https://notcve.org/view.php?id=CVE-2018-7721
07 Mar 2018 — Cross Site Scripting (XSS) exists in MetInfo 6.0.0 via /feedback/index.php because app/system/feedback/web/feedback.class.php mishandles input data. Existe Cross-Site Scripting (XSS) en MetInfo 6.0.0 mediante /feedback/index.php debido a que app/system/feedback/web/feedback.class.php gestiona de manera incorrecta los datos de entrada. • https://github.com/Gitaddy/vluns/blob/master/Metinfo.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2018-7271
https://notcve.org/view.php?id=CVE-2018-7271
21 Feb 2018 — An issue was discovered in MetInfo 6.0.0. In install/install.php in the installation process, the config/config_db.php configuration file filtering is not rigorous: one can insert malicious code in the installation process to execute arbitrary commands or obtain a web shell. Se ha descubierto un problema en MetInfo 6.0.0. En install/install.php en el proceso de instalación, el filtrado de archivos de configuración config/config_db.php no es riguroso: alguien podría insertar código malicioso en el proceso de... • https://github.com/SQYY/CVE/blob/master/MetInfo_G.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2017-14513
https://notcve.org/view.php?id=CVE-2017-14513
17 Sep 2017 — Directory traversal vulnerability in MetInfo 5.3.17 allows remote attackers to read information from any ini format file via the f_filename parameter in a fingerprintdo action to admin/app/physical/physical.php. Una vulnerabilidad de salto de directorio en MetInfo 5.3.17 permite que atacantes remotos lean información de cualquier archivo .ini mediante el parámetro f_filename en una acción fingerprintdo para admin/app/physical/physical.php. • https://github.com/phantom0301/vulns/blob/master/Metinfo2.md • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11718
https://notcve.org/view.php?id=CVE-2017-11718
28 Jul 2017 — There is URL Redirector Abuse in MetInfo through 5.3.17 via the gourl parameter to member/login.php. Se presentó una Violación de URL Redirector en MetInfo hasta la versión 5.3.17 por medio del parámetro gourl en el archivo member/login.php. • https://lncken.cn/?p=350 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11716
https://notcve.org/view.php?id=CVE-2017-11716
28 Jul 2017 — MetInfo through 5.3.17 allows stored XSS via HTML Edit Mode. En MetInfo hasta la versión 5.3.17, permite ataques de tipo Cross-Site Scripting (XSS) almacenado por medio del Modo Edit de HTML. • https://lncken.cn/?p=339 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •