CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-21957
https://notcve.org/view.php?id=CVE-2021-21957
A privilege escalation vulnerability exists in the Remote Server functionality of Dream Report ODS Remote Connector 20.2.16900.0. A specially-crafted command injection can lead to elevated capabilities. An attacker can provide a malicious file to trigger this vulnerability. Se presenta una vulnerabilidad de escalada de privilegios en la funcionalidad de Servidor Remoto del Conector Remoto Dream Report ODS versión 20.2.16900.0. Una inyección de comandos especialmente diseñada puede conllevar a una elevación de privilegios. • https://talosintelligence.com/vulnerability_reports/TALOS-2021-1384 • CWE-276: Incorrect Default Permissions •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13532
https://notcve.org/view.php?id=CVE-2020-13532
A privilege escalation vulnerability exists in Dream Report 5 R20-2. In the default configuration, the Syncfusion Dashboard Service service binary can be replaced by attackers to escalate privileges to NT SYSTEM. An attacker can provide a malicious file to trigger this vulnerability. Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. En la configuración predeterminada, el servicio binario Syncfusion Dashboard Service puede ser reemplazado para escalar privilegios a NT SYSTEM. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1146 • CWE-276: Incorrect Default Permissions •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13533
https://notcve.org/view.php?id=CVE-2020-13533
A privilege escalation vulnerability exists in Dream Report 5 R20-2. IIn the default configuration, the following registry keys, which reference binaries with weak permissions, can be abused by attackers to effectively ‘backdoor’ the installation files and escalate privileges when a new user logs in and uses the application. Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. En la configuración predeterminada, las siguientes claves de registro, que hacen referencia a binarios con permisos débiles, pueden ser abusadas por parte de atacantes para hacer efectivamente un "backdoor" de los archivos de instalación y escalar los privilegios cuando un nuevo usuario inicia sesión y usa la aplicación • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1146 • CWE-276: Incorrect Default Permissions •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13534
https://notcve.org/view.php?id=CVE-2020-13534
A privilege escalation vulnerability exists in Dream Report 5 R20-2. COM Class Identifiers (CLSID), installed by Dream Report 5 20-2, reference LocalServer32 and InprocServer32 with weak privileges which can lead to privilege escalation when used. An attacker can provide a malicious file to trigger this vulnerability. Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. COM Class Identifiers (CLSID), instalado por Dream Report versión 5 20-2, hace referencia a LocalServer32 e InprocServer32 con privilegios débiles que pueden conllevar a una escalada de privilegios cuando son usados. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1146 • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4038
https://notcve.org/view.php?id=CVE-2011-4038
Cross-site scripting (XSS) vulnerability in Invensys Wonderware HMI Reports 3.42.835.0304 and earlier, as used in Ocean Data Systems Dream Report before 4.0 and other products, allows remote attackers to inject arbitrary web script or HTML via unspecified parameters. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Invensys Wonderware HMI Reports 3.42.835.0304 y anteriores, como el usado en Ocean Data Systems Dream Report anteriores a v4.0 y otros programas, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros no especificados. • http://secunia.com/advisories/47742 http://secunia.com/advisories/47933 http://www.us-cert.gov/control_systems/pdf/ICSA-12-024-01.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-039-01.pdf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •