CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33211
https://notcve.org/view.php?id=CVE-2021-33211
A Directory Traversal vulnerability in the Unzip feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to write files to arbitrary directories via relative paths in ZIP archives. Una vulnerabilidad de Salto de Directorios en la funcionalidad Unzip en Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remoto escribir archivos en directorios arbitrario por medio de rutas relativas en archivos ZIP • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-021.txt https://www.syss.de/pentest-blog • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33212
https://notcve.org/view.php?id=CVE-2021-33212
A Cross-site scripting (XSS) vulnerability in the "View in Browser" feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to inject arbitrary web script or HTML via a crafted SVG image. Una vulnerabilidad de tipo Cross-site scripting (XSS) en la funcionalidad "View in Browser" de Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remoto inyectar script web o HTML arbitrario por medio de una imagen SVG diseñada • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-020.txt https://www.syss.de/pentest-blog • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33213
https://notcve.org/view.php?id=CVE-2021-33213
An SSRF vulnerability in the "Upload from URL" feature in Elements-IT HTTP Commander 5.3.3 allows remote authenticated users to retrieve HTTP and FTP files from the internal server network by inserting an internal address. Una vulnerabilidad de tipo SSRF en la funcionalidad "Upload from URL" de Elements-IT HTTP Commander versión 5.3.3, permite a usuarios autenticados remotos recuperar archivos HTTP y FTP de la red de servidores internos al insertar una dirección interna • https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2021-027.txt https://www.syss.de/pentest-blog • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 2.1EPSS: 0%CPEs: 1EXPL: 0CVE-2013-4503
https://notcve.org/view.php?id=CVE-2013-4503
Cross-site scripting (XSS) vulnerability in the Feed Element Mapper module for Drupal allows remote authenticated users with the "administer taxonomy" permission to inject arbitrary web script or HTML via vectors related to options. Vulnerabilidad de XSS en el módulo Feed Element Mapper para Drupal permite a usuarios remotos autenticados con el permiso 'administrar taxonomía' inyectar secuencias de comandos web o HTML arbitrarios a través de vectores relacionados con opciones. • http://seclists.org/oss-sec/2013/q4/210 https://drupal.org/node/2124279 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 3%CPEs: 1EXPL: 2CVE-2009-4817 – Ultimate Uploader 1.3 - Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2009-4817
Unrestricted file upload vulnerability in Element-IT Ultimate Uploader 1.3 allows remote attackers to execute arbitrary code by uploading a file with an executable extension, then accessing it via a direct request to the file in upload/. Vulnerabilidad de subida de fichero sin restricción en Element-IT Ultimate Uploader 1.3 permite a atacantes remotos ejecutar código de su elección subiendo un fichero con extensión ejecutable para, más tarde, acceder a él mediante una petición directa a el fichero en upload/. • https://www.exploit-db.com/exploits/10578 http://osvdb.org/61237 http://secunia.com/advisories/37880 http://www.exploit-db.com/exploits/10578 https://exchange.xforce.ibmcloud.com/vulnerabilities/54972 •