CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1297 – Loomio 2.22.0 - Code injection
https://notcve.org/view.php?id=CVE-2024-1297
Loomio version 2.22.0 allows executing arbitrary commands on the server. This is possible because the application is vulnerable to OS Command Injection. La versión 2.22.0 de Loomio permite ejecutar comandos arbitrarios en el servidor. Esto es posible porque la aplicación es vulnerable a la inyección de comandos del sistema operativo. • https://fluidattacks.com/advisories/stones https://github.com/loomio/loomio • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.4EPSS: 0%CPEs: 8EXPL: 1CVE-2017-11594
https://notcve.org/view.php?id=CVE-2017-11594
Cross-site scripting (XSS) vulnerability in the Markdown parser in Loomio before 1.8.0 allows remote attackers to inject arbitrary web script or HTML via non-sanitized Markdown content in a new thread or a thread comment. Una vulnerabilidad de tipo cross-site-scripting (XSS) en el analizador Markdown en Loomio anterior a la versión 1.8.0, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de contenido Markdown no saneado en un nuevo hilo (subproceso) o un comentario de hilo (subproceso). • https://github.com/loomio/loomio/commit/63973f71e337ead8ca7b7ae2a043b837032dc3fe https://github.com/loomio/loomio/issues/4220 https://github.com/loomio/loomio/releases/tag/1.8.0 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •