CVE-2023-47562 – Photo Station
https://notcve.org/view.php?id=CVE-2023-47562
An OS command injection vulnerability has been reported to affect Photo Station. If exploited, the vulnerability could allow authenticated users to execute commands via a network. We have already fixed the vulnerability in the following version: Photo Station 6.4.2 ( 2023/12/15 ) and later Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a Photo Station. Si se explota, la vulnerabilidad podría permitir a los usuarios autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en la siguiente versión: Photo Station 6.4.2 (2023/12/15) y posteriores • https://www.qnap.com/en/security-advisory/qsa-24-08 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2023-47561 – Photo Station
https://notcve.org/view.php?id=CVE-2023-47561
A cross-site scripting (XSS) vulnerability has been reported to affect Photo Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Photo Station 6.4.2 ( 2023/12/15 ) and later Vulnerabilidad de Cross-Site Scripting (XSS) afecta a Photo Station. Si se explota, la vulnerabilidad podría permitir a los usuarios autenticados inyectar código malicioso a través de una red. Ya hemos solucionado la vulnerabilidad en la siguiente versión: Photo Station 6.4.2 (2023/12/15) y posteriores • https://www.qnap.com/en/security-advisory/qsa-24-08 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-22681
https://notcve.org/view.php?id=CVE-2022-22681
Session fixation vulnerability in access control management in Synology Photo Station before 6.8.16-3506 allows remote attackers to bypass security constraint via unspecified vectors. Una vulnerabilidad de Fijación de Sesión en la administración del control de acceso en Synology Photo Station versiones anteriores a 6.8.16-3506, permite a atacantes remotos omitir las restricciones de seguridad por medio de vectores no especificados • https://www.synology.com/security/advisory/Synology_SA_21_26 • CWE-384: Session Fixation •
CVE-2019-11822
https://notcve.org/view.php?id=CVE-2019-11822
Relative path traversal vulnerability in SYNO.PhotoStation.File in Synology Photo Station before 6.8.11-3489 and before 6.3-2977 allows remote attackers to upload arbitrary files via the uploadphoto parameter. Una vulnerabilidad de salto de ruta (path) relativa en el archivo SYNO.PhotoStation.File en Synology Photo Station anterior a versión 6.8.11-3489 y anterior a versión 6.3-2977, permite a los atacantes remotos cargar archivos arbitrarios por medio del parámetro uploadphoto. • https://www.synology.com/security/advisory/Synology_SA_19_01 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-23: Relative Path Traversal •
CVE-2019-11821
https://notcve.org/view.php?id=CVE-2019-11821
SQL injection vulnerability in synophoto_csPhotoDB.php in Synology Photo Station before 6.8.11-3489 and before 6.3-2977 allows remote attackers to execute arbitrary SQL command via the type parameter. Una vulnerabilidad de inyección de SQL en el archivo synophoto_csPhotoDB.php en Synology Photo Station anterior a versión 6.8.11-3489 y anterior a versión 6.3-2977, permite a los atacantes remotos ejecutar comandos SQL arbitrarios por medio del parámetro type. • https://www.synology.com/security/advisory/Synology_SA_19_01 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •