CVE-2024-23871 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23871
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/unitofmeasurementmodify.php, in the description parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/unitofmeasurementmodify.php, en el parámetro description . La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-23870 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23870
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/stockissuancelist.php, in the delete parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/stockissuancelist.php, en el parámetro delete. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-23869 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23869
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/stockissuanceprint.php, in the issuanceno parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/stockissuanceprint.php, en el parámetro issuanceno . La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-23868 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23868
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/grnlist.php, in the deleted parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/grnlist.php, en el parámetro deleted. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-23867 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23867
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/statecreate.php, in the stateid parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/statecreate.php, en el parámetro stateid. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •