CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13590
https://notcve.org/view.php?id=CVE-2020-13590
Multiple exploitable SQL injection vulnerabilities exist in the 'entities/fields' page of the Rukovoditel Project Management App 2.7.2. A specially crafted HTTP request can lead to SQL injection. An attacker can make authenticated HTTP requests to trigger these vulnerabilities, this can be done either with administrator credentials or through cross-site request forgery. Se presentan múltiples vulnerabilidades explotables de inyección SQL en la página "entities/fields" de Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1199 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-18470
https://notcve.org/view.php?id=CVE-2020-18470
Stored cross-site scripting (XSS) vulnerability in the Name of application field found in the General Configuration page in Rukovoditel 2.4.1 allows remote attackers to inject arbitrary web script or HTML via a crafted website name by doing an authenticated POST HTTP request to rukovoditel_2.4.1/install/index.php. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en el campo Name of application que se encuentra en la página de Configuración General en Rukovoditel versión 2.4.1, permite a atacantes remotos inyectar un script web o HTML arbitrario por medio de un nombre de sitio web diseñado al hacer una petición HTTP POST autenticada al archivo rukovoditel_2.4.1/install/index.php. • https://github.com/joelister/Persistent-XSS-on-qdPM-9.1/issues/3 https://github.com/joelister/Persistent-XSS-on-qdPM-9.1/issues/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2020-18469
https://notcve.org/view.php?id=CVE-2020-18469
Stored cross-site scripting (XSS) vulnerability in the Copyright Text field found in the Application page under the Configuration menu in Rukovoditel 2.4.1 allows remote attackers to inject arbitrary web script or HTML via a crafted website name by doing an authenticated POST HTTP request to /rukovoditel_2.4.1/index.php?module=configuration/save&redirect_to=configuration/application. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en el campo Copyright Text que se encuentra en la página Application bajo el menú Configuration en Rukovoditel versión 2.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de un nombre de sitio web diseñado al hacer una petición HTTP POST autenticada al archivo /rukovoditel_2.4.1/index.php?module=configuration/save&redirect_to=configuration/application. • https://github.com/joelister/Persistent-XSS-on-qdPM-9.1/issues/3 https://github.com/joelister/Persistent-XSS-on-qdPM-9.1/issues/5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13589
https://notcve.org/view.php?id=CVE-2020-13589
An exploitable SQL injection vulnerability exists in the ‘entities/fields’ page of the Rukovoditel Project Management App 2.7.2. The entities_id parameter in the 'entities/fields page (mulitple_edit or copy_selected or export function) is vulnerable to authenticated SQL injection. An attacker can make authenticated HTTP requests to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery. Se presenta una vulnerabilidad de inyección SQL explotable en la página "entities/fields" de Rukovoditel Project Management App versión 2.7.2. El parámetro entities_id en la página "entities/fields" (función mulitple_edit o copy_selected o export) es vulnerable a una inyección SQL autenticada. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1199 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13588
https://notcve.org/view.php?id=CVE-2020-13588
An exploitable SQL injection vulnerability exists in the ‘entities/fields’ page of the Rukovoditel Project Management App 2.7.2. The heading_field_id parameter in ‘‘entities/fields’ page is vulnerable to authenticated SQL injection. An attacker can make authenticated HTTP requests to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery. Se presenta una vulnerabilidad de inyección SQL explotable en la página "entities/fields" de Rukovoditel Project Management App versión 2.7.2. El parámetro heading_field_id de la página "entities/fields" es vulnerable a una inyección SQL autenticada. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1199 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •