CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17204
https://notcve.org/view.php?id=CVE-2019-17204
TeamPass 2.1.27.36 allows Stored XSS by setting a crafted Knowledge Base label and adding any available item. TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al establecer una etiqueta de base de conocimiento diseñada y agregar cualquier elemento disponible. • https://github.com/nilsteampassnet/TeamPass/issues/2689 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17205
https://notcve.org/view.php?id=CVE-2019-17205
TeamPass 2.1.27.36 allows Stored XSS by placing a payload in the username field during a login attempt. When an administrator looks at the log of failed logins, the XSS payload will be executed. TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al colocar una carga útil en el campo username durante un intento de inicio de sesión. Cuando un administrador mira el registro de inicios de sesión fallidos, será ejecutada la carga útil de tipo XSS. • https://github.com/nilsteampassnet/TeamPass/issues/2688 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-16904
https://notcve.org/view.php?id=CVE-2019-16904
TeamPass 2.1.27.36 allows Stored XSS by setting a crafted password for an item in a common available folder or sharing the item with an admin. (The crafted password is exploitable when viewing the change history of the item or tapping on the item.) TeamPass versión 2.1.27.36, permite un ataque de tipo XSS mediante el establecimiento de una contraseña diseñada para un elemento en una carpeta y entonces compartir ese elemento con un administrador. (La contraseña diseñada es explotable cuando se visualiza el historial de cambios o el campo de contraseña usado previamente). • https://github.com/nilsteampassnet/TeamPass/issues/2685 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12950
https://notcve.org/view.php?id=CVE-2019-12950
An issue was discovered in TeamPass 2.1.27.35. From the sources/items.queries.php "Import items" feature, it is possible to load a crafted CSV file with an XSS payload. Se detectó un problema en TeamPass versión 2.1.27.35. Desde la funcionalidad "Import items" del archivo sources/items.queries.php, es posible cargar un archivo CSV diseñado con una carga útil de tipo XSS. • https://github.com/nilsteampassnet/TeamPass/issues/2638 https://github.com/nilsteampassnet/TeamPass/releases • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1000001
https://notcve.org/view.php?id=CVE-2019-1000001
TeamPass version 2.1.27 and earlier contains a Storing Passwords in a Recoverable Format vulnerability in Shared password vaults that can result in all shared passwords are recoverable server side. This attack appears to be exploitable via any vulnerability that can bypass authentication or role assignment and can lead to shared password leakage. TeamPass, en versiones 2.1.27 y anteriores, contiene una vulnerabilidad de almacenamiento de contraseñas en formato recuperable en los almacenes de contraseñas compartidos que puede resultar en que todas las contraseñas se pueden recuperar del lado del servidor. Este ataque parece ser explotable mediante una vulnerabilidad que puede omitir la autenticación o la asignación de roles y puede conducir al filtrado de las contraseñas compartidas. • https://github.com/nilsteampassnet/TeamPass/issues/2495 • CWE-522: Insufficiently Protected Credentials •