CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24581
https://notcve.org/view.php?id=CVE-2022-24581
27 May 2022 — ACEweb Online Portal 3.5.065 allows unauthenticated SMB hash capture via UNC. By specifying the UNC file path of an external SMB share when uploading a file, an attacker can induce the victim server to disclose the username and password hash of the user executing the ACEweb Online software. ACEweb Online Portal versión 3.5.065, permite una captura de hash SMB no autenticada por medio de UNC. Al especificar la ruta de archivo UNC de un recurso compartido SMB externo cuando es cargado un archivo, un atacante ... • http://aceware.com • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24241
https://notcve.org/view.php?id=CVE-2022-24241
27 May 2022 — ACEweb Online Portal 3.5.065 was discovered to contain an External Controlled File Path and Name vulnerability via the txtFilePath parameter in attachments.awp. Se ha detectado que ACEweb Online Portal versión 3.5.065, contiene una vulnerabilidad de ruta y nombre de archivo externo controlado por medio del parámetro txtFilePath en el archivo attachments.awp • http://aceware.com • CWE-610: Externally Controlled Reference to a Resource in Another Sphere •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24240
https://notcve.org/view.php?id=CVE-2022-24240
27 May 2022 — ACEweb Online Portal 3.5.065 was discovered to contain a SQL injection vulnerability via the criteria parameter in showschedule.awp. Se ha detectado que ACEweb Online Portal versión 3.5.065, contenía una vulnerabilidad de inyección SQL por medio del parámetro criteria en el archivo showschedule.awp • http://aceware.com • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24239
https://notcve.org/view.php?id=CVE-2022-24239
27 May 2022 — ACEweb Online Portal 3.5.065 was discovered to contain an unrestricted file upload vulnerability via attachments.awp. Se ha detectado que ACEweb Online Portal versión 3.5.065, contiene una vulnerabilidad de carga de archivos sin restricciones por medio del archivo attachments.awp • http://aceware.com • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24238
https://notcve.org/view.php?id=CVE-2022-24238
27 May 2022 — ACEweb Online Portal 3.5.065 was discovered to contain a cross-site scripting (XSS) vulnerability via the txtNmName1 parameter in person.awp. Se ha detectado que ACEweb Online Portal versión 3.5.065, contiene una vulnerabilidad de tipo cross-site scripting (XSS) por medio del parámetro txtNmName1 en el archivo person.awp • http://aceware.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •