CVE-2018-1000557
https://notcve.org/view.php?id=CVE-2018-1000557
OCS Inventory OCS Inventory NG version ocsreports 2.4 contains a Cross Site Scripting (XSS) vulnerability in login form and search functionality that can result in An attacker is able to execute arbitrary (javascript) code within a victims' browser. This attack appear to be exploitable via Victim must open a crafted link to the application. This vulnerability appears to have been fixed in ocsreports 2.4.1. OCS Inventory OCS Inventory NG version ocsreports 2.4 contiene una vulnerabilidad Cross-Site Scripting (XSS) en el formulario de inicio de sesión y la función search que puede resultar en que un atacante podría ejecutar código arbitrario (JavaScript) en el navegador de las víctimas. Este ataque parece ser explotable mediante una víctima que abra un enlace especialmente manipulado a la aplicación. • https://www.ocsinventory-ng.org/en/ocs-inventory-server-2-4-1-has-been-released https://www.secuvera.de/advisories/secuvera-SA-2017-03.txt • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-1000558
https://notcve.org/view.php?id=CVE-2018-1000558
OCS Inventory NG ocsreports 2.4 and ocsreports 2.3.1 version 2.4 and 2.3.1 contains a SQL Injection vulnerability in web search that can result in An authenticated attacker is able to gain full access to data stored within database. This attack appear to be exploitable via By sending crafted requests it is possible to gain database access. This vulnerability appears to have been fixed in 2.4.1. OCS Inventory NG ocsreports 2.4 y ocsreports 2.3.1 en versiones 2.4. y 2.3.1 contiene una vulnerabilidad de inyección SQL en la búsqueda web que puede resultar en que un atacante autenticado pueda obtener acceso total a los datos almacenados en la base de datos. Este ataque parece ser explotable mediante el envío de peticiones manipuladas para que sea posible obtener acceso a la base de datos. • https://www.ocsinventory-ng.org/en/ocs-inventory-server-2-4-1-has-been-released https://www.secuvera.de/advisories/secuvera-SA-2017-04.txt • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •