CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2022-27261
https://notcve.org/view.php?id=CVE-2022-27261
An arbitrary file write vulnerability in Express-FileUpload v1.3.1 allows attackers to upload multiple files with the same name, causing an overwrite of files in the web application server. Una vulnerabilidad de escritura de archivos arbitrarios en Express-FileUpload versión v1.3.1, permite a atacantes subir varios archivos con el mismo nombre, causando una sobreescritura de archivos en el servidor de la aplicación web • https://www.npmjs.com/package/express-fileupload https://www.youtube.com/watch?v=3ROHB3ck4tA • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-27140
https://notcve.org/view.php?id=CVE-2022-27140
An arbitrary file upload vulnerability in the file upload module of express-fileupload 1.3.1 allows attackers to execute arbitrary code via a crafted PHP file. NOTE: the vendor's position is that the observed behavior can only occur with "intentional misusing of the API": the express-fileupload middleware is not responsible for an application's business logic (e.g., determining whether or how a file should be renamed). Una vulnerabilidad de carga de archivos arbitraria en el módulo de carga de archivos de Express-Fileupload versión v1.3.1, permite a atacantes ejecutar código arbitrario por medio de un archivo PHP diseñado • https://github.com/richardgirges/express-fileupload/issues/312#issuecomment-1134912967 https://github.com/richardgirges/express-fileupload/issues/329#issuecomment-1387288644 https://www.youtube.com/watch?v=4XpofFi84KI • CWE-434: Unrestricted Upload of File with Dangerous Type •