CVE-2022-31366
https://notcve.org/view.php?id=CVE-2022-31366
An arbitrary file upload vulnerability in the apiImportLabs function in api_labs.php of EVE-NG 2.0.3-112 Community allows attackers to execute arbitrary code via a crafted UNL file. Una vulnerabilidad de descarga de archivos arbitraria en la función apiImportLabs en el archivo api_labs.php de la EVE-NG versión 2.0.3-112 Community, permite a atacantes ejecutar código arbitrario por medio de un archivo UNL diseñado • http://eve-ng.com https://erpaciocco.github.io/2022/eve-ng-rce • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2022-27903
https://notcve.org/view.php?id=CVE-2022-27903
An OS Command Injection vulnerability in the configuration parser of Eve-NG Professional through 4.0.1-65 and Eve-NG Community through 2.0.3-112 allows a remote authenticated attacker to execute commands as root by editing virtualization command parameters of imported UNL files. Una vulnerabilidad de inyección de comandos del Sistema Operativo en el analizador de configuración de Eve-NG Professional versiones hasta 4.0.1-65 y Eve-NG Community versiones hasta 2.0.3-112, permite a un atacante remoto autenticado ejecutar comandos como root mediante la edición de los parámetros de comandos de virtualización de los archivos UNL importados • https://www.eve-ng.net https://www.eve-ng.net/index.php/documentation/release-notes • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •