CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7346
https://notcve.org/view.php?id=CVE-2019-7346
A CSRF check issue exists in ZoneMinder through 1.32.3 as whenever a CSRF check fails, a callback function is called displaying a "Try again" button, which allows resending the failed request, making the CSRF attack successful. Existe un problema de validación Cross-Site Request Forgery (CSRF) en ZoneMinder, hasta la versión 1.32.3, ya que cuando una comprobación CSRF fracasa, se llama a una función de rellamada que muestra un botón "Try again", que permite reenviar la petición fallida. Esto hace que el ataque CSRF tenga éxito. • https://github.com/ZoneMinder/zoneminder/issues/2469 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7333
https://notcve.org/view.php?id=CVE-2019-7333
Reflected Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'Exportfile' parameter value in the view download (download.php) because proper filtration is omitted. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "Exportfile" vulnerable en la vista de descargas (download.php) debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2441 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7352
https://notcve.org/view.php?id=CVE-2019-7352
Self - Stored Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, as the view 'state' (aka Run State) (state.php) does no input validation to the value supplied to the 'New State' (aka newState) field, allowing an attacker to execute HTML or JavaScript code. Existe autocross-Site Scripting (XSS) persistente en ZoneMinder, hasta la versión 1.32.3, ya que la vista "state" (también conocida como Run State, en options.php) no introduce validación para los valores proporcionados al campo New State (también conocido como newState), lo que permite que un atacante ejecute código HTML o JavaScript. • https://github.com/ZoneMinder/zoneminder/issues/2475 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7328
https://notcve.org/view.php?id=CVE-2019-7328
Reflected Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'scale' parameter value in the view frame (frame.php) via /js/frame.js.php because proper filtration is omitted. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "scale" vulnerable en la vista de frame (frame.php) mediante /js/frame.js.php debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2449 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7326
https://notcve.org/view.php?id=CVE-2019-7326
Self - Stored Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'Host' parameter value in the view console (console.php) because proper filtration is omitted. This relates to the index.php?view=monitor Host Name field. Existe autocross-Site Scripting (XSS) persistente en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "Host" vulnerable en la vista de consola (console.php) debido a que se omite un filtrado adecuado. Esto está relacionado con el campo Host Name en index.php? • https://github.com/ZoneMinder/zoneminder/issues/2452 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •