CVE-2021-26630 – HANDY Groupware file download and execute vulnerability
https://notcve.org/view.php?id=CVE-2021-26630
Improper input validation vulnerability in HANDY Groupware’s ActiveX moudle allows attackers to download or execute arbitrary files. This vulnerability can be exploited by using the file download or execution path as the parameter value of the vulnerable function. Una vulnerabilidad de comprobación de entrada inapropiada en el módulo ActiveX de HANDY Groupware permite a atacantes descargar o ejecutar archivos arbitrarios. Esta vulnerabilidad puede ser explotada usando la ruta de descarga o ejecución de archivos como el valor del parámetro de la función vulnerable • https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66723 • CWE-20: Improper Input Validation •
CVE-2021-26608 – handysoft groupware arbitrary file download and execution vulnerability
https://notcve.org/view.php?id=CVE-2021-26608
An arbitrary file download and execution vulnerability was found in the HShell.dll of handysoft Co., Ltd groupware ActiveX module. This issue is due to missing support for integrity check of download URL or downloaded file hash. Se ha encontrado una vulnerabilidad de descarga y ejecución arbitraria de archivos en el módulo HShell.dll del groupware ActiveX de handysoft Co., Ltd. Este problema es debido a una falta de soporte para la comprobación de la integridad de la URL de descarga o del hash del archivo descargado • https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=36239 • CWE-345: Insufficient Verification of Data Authenticity CWE-353: Missing Support for Integrity Check •
CVE-2020-7810 – HandySoft ActiveX File Download and Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-7810
hslogin2.dll ActiveX Control in Groupware contains a vulnerability that could allow remote files to be downloaded and executed by setting the arguments to the activex method. This is due to a lack of integrity verification of the policy files referenced in the update process, and a remote attacker could induce a user to crafted web page, causing damage such as malicious code infection. El ActiveX Control hslogin2.dll en Groupware, contiene una vulnerabilidad que podría permitir que archivos remotos sean descargados y ejecutados al configurar los argumentos en el método activex. Esto es debido a una falta de comprobación de la integridad de los archivos de políticas a los que se hace referencia en el proceso de actualización, y un atacante remoto podría inducir a un usuario a diseñar una página web, causando daños como una infección de código malicioso • http://www.handysoft.co.kr/en https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=35551 • CWE-353: Missing Support for Integrity Check CWE-354: Improper Validation of Integrity Check Value •
CVE-2020-7804
https://notcve.org/view.php?id=CVE-2020-7804
ActiveX Control(HShell.dll) in Handy Groupware 1.7.3.1 for Windows 7, 8, and 10 allows an attacker to execute arbitrary command via the ShellExec method. ActiveX Control(HShell.dll) en Handy Groupware versión 1.7.3.1 para Windows 7, 8 y 10, permite a un atacante ejecutar un comando arbitrario por medio del método ShellExec. • http://www.handysoft.co.kr/product/product.html?seq=12 https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=35368 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •