CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 1CVE-2017-12585
https://notcve.org/view.php?id=CVE-2017-12585
06 Aug 2017 — SLiMS 8 Akasia through 8.3.1 has SQL injection in admin/AJAX_lookup_handler.php (tableName and tableFields parameters), admin/AJAX_check_id.php, and admin/AJAX_vocabolary_control.php. It can be exploited by remote authenticated librarian users. SLiMS 8 Akasia en su versión 8.3.1 tiene una inyección SQL en admin/AJAX_lookup_handler.php (parámetros tableName y tableFields), admin/AJAX_check_id.php y admin/AJAX_vocabolary_control.php. Esta vulnerabilidad puede ser explotada por usuarios remotos de librería aut... • https://github.com/slims/slims8_akasia/issues/47 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 1CVE-2017-12586
https://notcve.org/view.php?id=CVE-2017-12586
06 Aug 2017 — SLiMS 8 Akasia through 8.3.1 has an arbitrary file reading issue because of directory traversal in the url parameter to admin/help.php. It can be exploited by remote authenticated librarian users. La versión 8.3.1 de SLiMS 8 Akasia tiene un problema de lectura de archivos arbitrarios debido a un salto de directorio en el parámetro url al admin/help.php. Esta vulnerabilidad puede ser explotada por usuarios remotos de librería remotos autenticados. • https://github.com/slims/slims8_akasia/issues/48 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •