CVE-2019-7345
https://notcve.org/view.php?id=CVE-2019-7345
Self - Stored Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, as the view 'options' (options.php) does no input validation for the WEB_TITLE, HOME_URL, HOME_CONTENT, or WEB_CONSOLE_BANNER value, allowing an attacker to execute HTML or JavaScript code. This relates to functions.php. Existe autocross-Site Scripting (XSS) persistente en ZoneMinder, hasta la versión 1.32.3, ya que la vista "options" (options.php) no introduce validación para los valores WEB_TITLE, HOME_URL, HOME_CONTENT o WEB_CONSOLE_BANNER, lo que permite que un atacante ejecute código HTML o JavaScript. Esto está relacionado con functions.php. • https://github.com/ZoneMinder/zoneminder/issues/2468 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7346
https://notcve.org/view.php?id=CVE-2019-7346
A CSRF check issue exists in ZoneMinder through 1.32.3 as whenever a CSRF check fails, a callback function is called displaying a "Try again" button, which allows resending the failed request, making the CSRF attack successful. Existe un problema de validación Cross-Site Request Forgery (CSRF) en ZoneMinder, hasta la versión 1.32.3, ya que cuando una comprobación CSRF fracasa, se llama a una función de rellamada que muestra un botón "Try again", que permite reenviar la petición fallida. Esto hace que el ataque CSRF tenga éxito. • https://github.com/ZoneMinder/zoneminder/issues/2469 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2019-7333
https://notcve.org/view.php?id=CVE-2019-7333
Reflected Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'Exportfile' parameter value in the view download (download.php) because proper filtration is omitted. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "Exportfile" vulnerable en la vista de descargas (download.php) debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2441 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7352
https://notcve.org/view.php?id=CVE-2019-7352
Self - Stored Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, as the view 'state' (aka Run State) (state.php) does no input validation to the value supplied to the 'New State' (aka newState) field, allowing an attacker to execute HTML or JavaScript code. Existe autocross-Site Scripting (XSS) persistente en ZoneMinder, hasta la versión 1.32.3, ya que la vista "state" (también conocida como Run State, en options.php) no introduce validación para los valores proporcionados al campo New State (también conocido como newState), lo que permite que un atacante ejecute código HTML o JavaScript. • https://github.com/ZoneMinder/zoneminder/issues/2475 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-7328
https://notcve.org/view.php?id=CVE-2019-7328
Reflected Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'scale' parameter value in the view frame (frame.php) via /js/frame.js.php because proper filtration is omitted. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "scale" vulnerable en la vista de frame (frame.php) mediante /js/frame.js.php debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2449 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •