CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-44009
https://notcve.org/view.php?id=CVE-2022-44009
Improper access control in Key-Value RBAC in StackStorm version 3.7.0 didn't check the permissions in Jinja filters, allowing attackers to access K/V pairs of other users, potentially leading to the exposure of sensitive Information. El control de acceso inadecuado en RBAC de valor clave en StackStorm versión 3.7.0 no verificó los permisos en los filtros Jinja, lo que permitió a los atacantes acceder a pares K/V de otros usuarios, lo que podría provocar la exposición de información confidencial. • https://stackstorm.com/2022/12/v3-8-0-released • CWE-862: Missing Authorization •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-43706
https://notcve.org/view.php?id=CVE-2022-43706
Cross-site scripting (XSS) vulnerability in the Web UI of StackStorm versions prior to 3.8.0 allowed logged in users with write access to pack rules to inject arbitrary script or HTML that may be executed in Web UI for other logged in users. La vulnerabilidad de Cross-Site Scripting (XSS) en la interfaz de usuario web de las versiones de StackStorm anteriores a la 3.8.0 permitía a los usuarios registrados con acceso de escritura para empaquetar reglas para inyectar scripts arbitrarios o HTML que pueden ejecutarse en la interfaz de usuario web para otros usuarios conectados. • https://stackstorm.com/2022/12/v3-8-0-released • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •