CVE-2021-26630 – HANDY Groupware file download and execute vulnerability
https://notcve.org/view.php?id=CVE-2021-26630
Improper input validation vulnerability in HANDY Groupware’s ActiveX moudle allows attackers to download or execute arbitrary files. This vulnerability can be exploited by using the file download or execution path as the parameter value of the vulnerable function. Una vulnerabilidad de comprobación de entrada inapropiada en el módulo ActiveX de HANDY Groupware permite a atacantes descargar o ejecutar archivos arbitrarios. Esta vulnerabilidad puede ser explotada usando la ruta de descarga o ejecución de archivos como el valor del parámetro de la función vulnerable • https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66723 • CWE-20: Improper Input Validation •
CVE-2020-7804
https://notcve.org/view.php?id=CVE-2020-7804
ActiveX Control(HShell.dll) in Handy Groupware 1.7.3.1 for Windows 7, 8, and 10 allows an attacker to execute arbitrary command via the ShellExec method. ActiveX Control(HShell.dll) en Handy Groupware versión 1.7.3.1 para Windows 7, 8 y 10, permite a un atacante ejecutar un comando arbitrario por medio del método ShellExec. • http://www.handysoft.co.kr/product/product.html?seq=12 https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=35368 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •