CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11718
https://notcve.org/view.php?id=CVE-2017-11718
28 Jul 2017 — There is URL Redirector Abuse in MetInfo through 5.3.17 via the gourl parameter to member/login.php. Se presentó una Violación de URL Redirector en MetInfo hasta la versión 5.3.17 por medio del parámetro gourl en el archivo member/login.php. • https://lncken.cn/?p=350 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2017-11716
https://notcve.org/view.php?id=CVE-2017-11716
28 Jul 2017 — MetInfo through 5.3.17 allows stored XSS via HTML Edit Mode. En MetInfo hasta la versión 5.3.17, permite ataques de tipo Cross-Site Scripting (XSS) almacenado por medio del Modo Edit de HTML. • https://lncken.cn/?p=339 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11717
https://notcve.org/view.php?id=CVE-2017-11717
28 Jul 2017 — MetInfo through 5.3.17 accepts the same CAPTCHA response for 120 seconds, which makes it easier for remote attackers to bypass intended challenge requirements by modifying the client-server data stream, as demonstrated by the login/findpass page. En MetInfo hasta la versión 5.3.17 acepta la misma respuesta CAPTCHA por 120 segundos, lo que hace más fácil para los atacantes remotos omitir los requisitos de desafío previstos al modificar el flujo de datos hacia el servidor cliente, como es demostrado por la pá... • https://lncken.cn/?p=343 • CWE-290: Authentication Bypass by Spoofing •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 1CVE-2017-11715
https://notcve.org/view.php?id=CVE-2017-11715
28 Jul 2017 — job/uploadfile_save.php in MetInfo through 5.3.17 blocks the .php extension but not related extensions, which might allow remote authenticated admins to execute arbitrary PHP code by uploading a .phtml file after certain actions involving admin/system/safe.php and job/cv.php. En el archivo job/uploadfile_save.php en MetInfo hasta la versión 5.3.17, bloquea la extensión .php pero no las extensiones relacionadas, lo que podría permitir que los administradores autenticados remotos ejecuten código PHP arbitrari... • https://lncken.cn/?p=316 • CWE-94: Improper Control of Generation of Code ('Code Injection') •