NotCVE - vendor:"Express-cart Project" product:"Express-cart" version:" <= 1.1.10"

4 results (0.003 seconds)

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

CVE-2020-22403

https://notcve.org/view.php?id=CVE-2020-22403

12 Aug 2021 — Cross Site Request Forgery (CSRF) vulnerability in Express cart v1.1.16 allows attackers to add an administrator account, add discount code or other unspecified impacts. El paquete express-cart versiones hasta 1.1.10 para Node.js, permite un ataque de tipo CSRF. • https://github.com/mrvautin/expressCart/issues/120 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1

CVE-2021-32573

https://notcve.org/view.php?id=CVE-2021-32573

11 May 2021 — The express-cart package through 1.1.10 for Node.js allows Reflected XSS (for an admin) via a user input field for product options. NOTE: the vendor states that this "would rely on an admin hacking his/her own website. ** EN DISPUTA ** El paquete express-cart versiones hasta 1.1.10 para Node.js permite un ataque de tipo XSS Reflejado (para un administrador) por medio de un campo de entrada de usuario para las opciones del producto. NOTA: el proveedor afirma que esto "dependería de que un hacking admini... • https://hackerone.com/reports/395944 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

CVE-2018-16483

https://notcve.org/view.php?id=CVE-2018-16483

01 Feb 2019 — A deficiency in the access control in module express-cart <=1.1.5 allows unprivileged users to add new users to the application as administrators. Una deficiencia en el control de acceso en xpress-cart, en la versión 1.1.5 y anteriores, permite a los usuarios sin privilegios añadir a nuevos usuarios a la aplicación como administrador. • https://hackerone.com/reports/343626 • CWE-290: Authentication Bypass by Spoofing •

CVSS: 9.0EPSS: 6%CPEs: 1EXPL: 1

CVE-2018-3758

https://notcve.org/view.php?id=CVE-2018-3758

07 Jun 2018 — Unrestricted file upload (RCE) in express-cart module before 1.1.7 allows a privileged user to gain access in the hosting machine. Subida de archivos sin restricción (RCE) en el módulo express-cart en versiones anteriores a la 1.1.7 permite que un usuario privilegiado obtenga acceso a la máquina host. • https://hackerone.com/reports/343726 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-434: Unrestricted Upload of File with Dangerous Type •