CVE-2023-49954
https://notcve.org/view.php?id=CVE-2023-49954
The CRM Integration in 3CX before 18.0.9.23 and 20 before 20.0.0.1494 allows SQL Injection via a first name, search string, or email address. La integración de CRM en 3CX anterior a 18.0.9.23 y 20 anterior a 20.0.0.1494 permite la inyección SQL a través de un nombre, cadena de búsqueda o dirección de correo electrónico. • https://github.com/CVE-2023-49954/CVE-2023-49954.github.io https://cve-2023-49954.github.io • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-45491
https://notcve.org/view.php?id=CVE-2021-45491
3CX System through 2022-03-17 stores cleartext passwords in a database. El Sistema 3CX versiones hasta 17-03-2022, almacena contraseñas en texto sin cifrar en una base de datos • http://packetstormsecurity.com/files/166386/3CX-Phone-System-Cleartext-Passwords.html https://www.3cx.com/community/forums/posts-articles-news • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2021-45490
https://notcve.org/view.php?id=CVE-2021-45490
The client applications in 3CX on Windows, the 3CX app for iOS, and the 3CX application for Android through 2022-03-17 lack SSL certificate validation. Las aplicaciones cliente en 3CX en Windows, la aplicación 3CX para iOS, y la aplicación 3CX para Android versiones hasta 17-03-2022 carecen de comprobación de certificado SSL • https://packetstormsecurity.com/files/166376/3CX-Client-Missing-TLS-Validation.html https://www.3cx.com/community/forums/posts-articles-news • CWE-295: Improper Certificate Validation •