CVE-2023-35851 – SUNNET WMPro - SQL Injection
https://notcve.org/view.php?id=CVE-2023-35851
SUNNET WMPro portal's FAQ function has insufficient validation for user input. An unauthenticated remote attacker can inject arbitrary SQL commands to obtain sensitive information via a database. La función de preguntas frecuentes del portal SUNNET WMPro no tiene una validación suficiente para la entrada del usuario. Un atacante remoto no autenticado puede inyectar comandos SQL arbitrarios para obtener información sensible a través de una base de datos. • https://www.twcert.org.tw/tw/cp-132-7372-3994a-1.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2023-35850 – SUNNET WMPro - Command Injection
https://notcve.org/view.php?id=CVE-2023-35850
SUNNET WMPro portal's file management function has a vulnerability of insufficient filtering for user input. A remote attacker with administrator privilege or a privileged account can exploit this vulnerability to inject and execute arbitrary system commands to perform arbitrary system operations or disrupt service. La función de administración de archivos del portal SUNNET WMPro tiene una vulnerabilidad de filtrado insuficiente para la entrada del usuario. Un atacante remoto con privilegios de administrador o una cuenta privilegiada puede aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema para realizar operaciones arbitrarias del sistema o interrumpir el servicio. • https://www.twcert.org.tw/tw/cp-132-7373-4ef46-1.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2023-24836 – SUNNET CTMS - Path Traversal
https://notcve.org/view.php?id=CVE-2023-24836
SUNNET CTMS has vulnerability of path traversal within its file uploading function. An authenticated remote attacker with general user privilege can exploit this vulnerability to upload and execute scripts onto arbitrary directories to perform arbitrary system operation or disrupt service. • https://www.twcert.org.tw/tw/cp-132-7033-878ab-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2021-45917 – SUN & MOON RISE CO., LTD. Shockwall - Improper Authentication
https://notcve.org/view.php?id=CVE-2021-45917
The server-request receiver function of Shockwall system has an improper authentication vulnerability. An authenticated attacker of an agent computer within the local area network can use the local registry information to launch server-side request forgery (SSRF) attack on another agent computer, resulting in arbitrary code execution for controlling the system or disrupting service. La función server-request receiver de Shockwall system presenta una vulnerabilidad de autenticación inapropiada. Un atacante autenticado de un ordenador agente dentro de la red de área local puede usar la información del registro local para lanzar un ataque de tipo server-side request forgery (SSRF) en otro ordenador agente, resultando en la ejecución de código arbitrario para controlar el sistema o interrumpir el servicio • https://www.twcert.org.tw/tw/cp-132-5433-77f6f-1.html • CWE-287: Improper Authentication •
CVE-2021-43360 – Sunnet eHRD - Insecure Deserialization
https://notcve.org/view.php?id=CVE-2021-43360
Sunnet eHRD e-mail delivery task schedule’s serialization function has inadequate input object validation and restriction, which allows a post-authenticated remote attacker with database access privilege, to execute arbitrary code and control the system or interrupt services. La función e-mail delivery task schedule’s serialization de Sunnet eHRD presenta una comprobación y restricción de objetos de entrada inapropiadas, que permite a un atacante remoto no autenticado con privilegios de acceso a la base de datos, ejecutar código arbitrario y controlar el sistema o interrumpir servicios • https://www.twcert.org.tw/tw/cp-132-5355-6e339-1.html • CWE-502: Deserialization of Untrusted Data •