CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13592
https://notcve.org/view.php?id=CVE-2020-13592
An exploitable SQL injection vulnerability exists in "global_lists/choices" page of the Rukovoditel Project Management App 2.7.2. A specially crafted HTTP request can lead to SQL injection. An attacker can make an authenticated HTTP request to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery. Se presenta una vulnerabilidad de inyección SQL explotable en la página "global_lists/choices" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1201 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13587
https://notcve.org/view.php?id=CVE-2020-13587
An exploitable SQL injection vulnerability exists in the "forms_fields_rules/rules" page of the Rukovoditel Project Management App 2.7.2. A specially crafted HTTP request can lead to SQL injection. An attacker can make an authenticated HTTP request to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery. Se presenta una vulnerabilidad de inyección SQL explotable en la página "forms_fields_rules/rules" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1198 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13591
https://notcve.org/view.php?id=CVE-2020-13591
An exploitable SQL injection vulnerability exists in the "access_rules/rules_form" page of the Rukovoditel Project Management App 2.7.2. A specially crafted HTTP request can lead to SQL injection. An attacker can make an authenticated HTTP request to trigger this vulnerability, this can be done either with administrator credentials or through cross-site request forgery. Se presenta una vulnerabilidad de inyección SQL explotable en la página "access_rules/rules_form" de la Rukovoditel Project Management App versión 2.7.2. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1200 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-21732
https://notcve.org/view.php?id=CVE-2020-21732
Rukovoditel Project Management app 2.6 is affected by: Cross Site Scripting (XSS). An attacker can add JavaScript code to the filename. La aplicación Rukovoditel Project Management versión 2.6, está afectada por: una vulnerabilidad de tipo Cross Site Scripting (XSS). Un atacante puede agregar código JavaScript al nombre del archivo • http://rukovoditel.com https://github.com/Gr3gPr1est/BugReport/blob/master/CVE-2020-21732 https://www.rukovoditel.net • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-11822
https://notcve.org/view.php?id=CVE-2020-11822
In Rukovoditel 2.5.2, there is a stored XSS vulnerability on the application structure --> user access groups page. Thus, an attacker can inject malicious script to steal all users' valuable data. En Rukovoditel versión 2.5.2, hay una vulnerabilidad de tipo XSS almacenado en la estructura de la aplicación --) página user access groups. Por lo tanto, un atacante puede inyectar un script malicioso para robar los todos los datos valiosos de los usuarios. • https://fatihhcelik.blogspot.com/2020/01/rukovoditel-stored-xss-via-group-name.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •