CVSS: 8.2EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23856 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23856
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/itemlist.php, in the description parameter. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) a través de /cupseasylive/itemlist.php, en el parámetro description. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.2EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23855 – Cross-Site Scripting (XSS) vulnerability in Cups Easy
https://notcve.org/view.php?id=CVE-2024-23855
A vulnerability has been reported in Cups Easy (Purchase & Inventory), version 1.0, whereby user-controlled inputs are not sufficiently encoded, resulting in a Cross-Site Scripting (XSS) vulnerability via /cupseasylive/taxcodemodify.php, in multiple parameters. Exploitation of this vulnerability could allow a remote attacker to send a specially crafted URL to an authenticated user and steal their session cookie credentials. Se ha informado de una vulnerabilidad en Cups Easy (Purchase & Inventory), versión 1.0, por la cual las entradas controladas por el usuario no están suficientemente codificadas, lo que genera una vulnerabilidad de cross site scripting (XSS) a través de /cupseasylive/taxcodemodify.php, en múltiples parámetros. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una URL especialmente manipulada a un usuario autenticado y robar sus credenciales de cookies de sesión. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-cups-easy • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 3CVE-2020-8424 – Cups Easy 1.0 - Cross Site Request Forgery (Password Reset)
https://notcve.org/view.php?id=CVE-2020-8424
Cups Easy (Purchase & Inventory) 1.0 is vulnerable to CSRF that leads to admin account takeover via passwordmychange.php. Cups Easy (Purchase & Inventory) versión 1.0, es vulnerable a un ataque de tipo CSRF que conlleva a la toma de control de la cuenta de administrador por medio del archivo passwordmychange.php. Cups Easy version 1.0 suffers from a cross site request forgery vulnerability. • https://www.exploit-db.com/exploits/47973 http://packetstormsecurity.com/files/156140/Cups-Easy-1.0-Cross-Site-Request-Forgery.html https://github.com/J3rryBl4nks/CUPSEasyExploits • CWE-352: Cross-Site Request Forgery (CSRF) •