CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11717
https://notcve.org/view.php?id=CVE-2017-11717
28 Jul 2017 — MetInfo through 5.3.17 accepts the same CAPTCHA response for 120 seconds, which makes it easier for remote attackers to bypass intended challenge requirements by modifying the client-server data stream, as demonstrated by the login/findpass page. En MetInfo hasta la versión 5.3.17 acepta la misma respuesta CAPTCHA por 120 segundos, lo que hace más fácil para los atacantes remotos omitir los requisitos de desafío previstos al modificar el flujo de datos hacia el servidor cliente, como es demostrado por la pá... • https://lncken.cn/?p=343 • CWE-290: Authentication Bypass by Spoofing •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 1CVE-2017-11715
https://notcve.org/view.php?id=CVE-2017-11715
28 Jul 2017 — job/uploadfile_save.php in MetInfo through 5.3.17 blocks the .php extension but not related extensions, which might allow remote authenticated admins to execute arbitrary PHP code by uploading a .phtml file after certain actions involving admin/system/safe.php and job/cv.php. En el archivo job/uploadfile_save.php en MetInfo hasta la versión 5.3.17, bloquea la extensión .php pero no las extensiones relacionadas, lo que podría permitir que los administradores autenticados remotos ejecuten código PHP arbitrari... • https://lncken.cn/?p=316 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11500
https://notcve.org/view.php?id=CVE-2017-11500
20 Jul 2017 — A directory traversal vulnerability exists in MetInfo 5.3.17. A remote attacker can use ..\ to delete any .zip file via the filenames parameter to /admin/system/database/filedown.php. Se presenta una vulnerabilidad de recorrido de directorio en MetInfo versión 5.3.17. Un atacante remoto puede usar ..\ para eliminar cualquier archivo .zip por medio del parámetro filename en el archivo /admin/system/database/filedown.php. • http://blackwolfsec.cc/2017/07/20/Metinfo-directory-traversal-bypass • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-9764
https://notcve.org/view.php?id=CVE-2017-9764
19 Jul 2017 — Cross-site scripting (XSS) vulnerability in MetInfo 5.3.17 allows remote attackers to inject arbitrary web script or HTML via the Client-IP or X-Forwarded-For HTTP header to /include/stat/stat.php in a para action. Una vulnerabilidad de tipo cross-site-scripting (XSS) en MetInfo versión 5.3.17, permite a los atacantes remotos inyectar scripts web o HTML arbitrarios por medio del encabezado HTTP Client-IP o X-Forwarded-For en el archivo /include/stat/stat.php en una acción para. • https://github.com/phantom0301/vulns/blob/master/Metinfo.md • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11347
https://notcve.org/view.php?id=CVE-2017-11347
16 Jul 2017 — Authenticated Code Execution Vulnerability in MetInfo 5.3.17 allows a remote authenticated attacker to generate a PHP script with the content of a malicious image, related to admin/include/common.inc.php and admin/app/physical/physical.php. Una vulnerabilidad de ejecución de código autenticada en MetInfo versión 5.3.17, permite a un atacante remoto autenticado generar un script PHP con el contenido de una imagen maliciosa, relacionada con los archivos admin/include/common.inc.php y admin/app/physical/physic... • https://github.com/imp0wd3r/MetInfo_Vuln/blob/master/README.md •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 3CVE-2017-6878 – MetInfo 5.3.15 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2017-6878
18 Mar 2017 — Cross-site scripting (XSS) vulnerability in MetInfo 5.3.15 allows remote authenticated users to inject arbitrary web script or HTML via the name_2 parameter to admin/column/delete.php. Vulnerabilidad de XSS en MetInfo 5.3.15 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro name_2 a admin/column/delete.php. MetInfo version 5.3.15 suffers from a stored cross site scripting vulnerability. • https://packetstorm.news/files/id/141689 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2010-4976 – Metinfo 3.0 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2010-4976
01 Nov 2011 — Cross-site scripting (XSS) vulnerability in search/search.php in MetInfo 3.0 allows remote attackers to inject arbitrary web script or HTML via the searchword parameter (aka Search Box field). NOTE: some of these details are obtained from third party information. Una vulnerabilidad de ejecución de comandos en sitios cruzados(XSS) en search/search.php en MetInfo v3.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro searchword (también conocido como campo de cuadro... • https://www.exploit-db.com/exploits/15496 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •