CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35968 – Learningdigital.com, Inc. Orca HCM - Path Traversal-2
https://notcve.org/view.php?id=CVE-2021-35968
19 Jul 2021 — The directory list page parameter of the Orca HCM digital learning platform fails to filter special characters properly. Remote attackers can access the system directory thru Path Traversal with users’ privileges. El parámetro directory list page de la plataforma de aprendizaje digital Orca HCM no filtra correctamente los caracteres especiales. Unos atacantes remotos pueden acceder al directorio del sistema a través de Salto de Ruta con privilegios de usuario • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35967 – Learningdigital.com, Inc. Orca HCM - Path Traversal-1
https://notcve.org/view.php?id=CVE-2021-35967
19 Jul 2021 — The directory page parameter of the Orca HCM digital learning platform does not filter special characters. Remote attackers can access the system directory thru Path Traversal without logging in. El parámetro directory page de la plataforma de aprendizaje digital Orca HCM no filtra los caracteres especiales. Unos atacantes remotos pueden acceder al directorio del sistema a través de Salto de Ruta sin iniciar sesión • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35966 – Learningdigital.com, Inc. Orca HCM - URL Redirection to Untrusted Site ('Open Redirect')
https://notcve.org/view.php?id=CVE-2021-35966
19 Jul 2021 — The specific function of the Orca HCM digital learning platform does not filter input parameters properly, which causing the URL can be redirected to any website. Remote attackers can use the vulnerability to execute phishing attacks. La función específica de la plataforma de aprendizaje digital Orca HCM no filtra apropiadamente los parámetros de entrada, causando que la URL pueda ser redirigida a cualquier sitio web. Unos atacantes remotos pueden usar la vulnerabilidad para ejecutar ataques de phishing • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 10.0EPSS: 1%CPEs: 1EXPL: 0CVE-2021-35965 – Learningdigital.com, Inc. Orca HCM - Hard-code password
https://notcve.org/view.php?id=CVE-2021-35965
19 Jul 2021 — The Orca HCM digital learning platform uses a weak factory default administrator password, which is hard-coded in the source code of the webpage in plain text, thus remote attackers can obtain administrator’s privilege without logging in. La plataforma de aprendizaje digital Orca HCM usa una contraseña de administrador débil por defecto, que está embebida en el código fuente de la página web en texto plano, por lo que atacantes remotos pueden obtener el privilegio de administrador sin iniciar sesión • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-522: Insufficiently Protected Credentials CWE-1188: Initialization of a Resource with an Insecure Default •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35964 – Learningdigital.com, Inc. Orca HCM - Broken Authentication
https://notcve.org/view.php?id=CVE-2021-35964
19 Jul 2021 — The management page of the Orca HCM digital learning platform does not perform identity verification, which allows remote attackers to execute the management function without logging in, access members’ information, modify and delete the courses in system, thus causing users fail to access the learning content. La página de administración de la plataforma de aprendizaje digital Orca HCM no lleva a cabo la verificación de la identidad, lo que permite a atacantes remotos ejecutar la función de administración ... • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-285: Improper Authorization CWE-287: Improper Authentication •
CVSS: 10.0EPSS: 2%CPEs: 1EXPL: 0CVE-2021-35963 – Learningdigital.com, Inc. Orca HCM - Unrestricted Upload of File with Dangerous Type
https://notcve.org/view.php?id=CVE-2021-35963
19 Jul 2021 — The specific parameter of upload function of the Orca HCM digital learning platform does not filter file format, which allows remote unauthenticated attackers to upload files containing malicious script to execute RCE attacks. El parámetro específico de la función upload de la plataforma de aprendizaje digital Orca HCM no filtra el formato de los archivos, lo que permite a atacantes remotos no autenticados cargar archivos conteniendo scripts maliciosos para ejecutar ataques RCE • https://www.chtsecurity.com/news/ba7b3ae7-14f3-4970-b3f6-4d97d8c7ea25 • CWE-434: Unrestricted Upload of File with Dangerous Type •