CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43360 – Sunnet eHRD - Insecure Deserialization
https://notcve.org/view.php?id=CVE-2021-43360
Sunnet eHRD e-mail delivery task schedule’s serialization function has inadequate input object validation and restriction, which allows a post-authenticated remote attacker with database access privilege, to execute arbitrary code and control the system or interrupt services. La función e-mail delivery task schedule’s serialization de Sunnet eHRD presenta una comprobación y restricción de objetos de entrada inapropiadas, que permite a un atacante remoto no autenticado con privilegios de acceso a la base de datos, ejecutar código arbitrario y controlar el sistema o interrumpir servicios • https://www.twcert.org.tw/tw/cp-132-5355-6e339-1.html • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43359 – Sunnet eHRD - Broken Access Control
https://notcve.org/view.php?id=CVE-2021-43359
Sunnet eHRD has broken access control vulnerability, which allows a remote attacker to access account management page after being authenticated as a general user, then perform privilege escalation to execute arbitrary code and control the system or interrupt services. Sunnet eHRD presenta una vulnerabilidad de control de acceso rota, que permite a un atacante remoto acceder a la página de administración de cuentas después de ser autenticado como usuario general, y luego llevar a cabo una escalada de privilegios para ejecutar código arbitrario y controlar el sistema o interrumpir los servicios • https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43358 – Sunnet eHRD - Path Traversal
https://notcve.org/view.php?id=CVE-2021-43358
Sunnet eHRD has inadequate filtering for special characters in URLs, which allows a remote attacker to perform path traversal attacks without authentication, access restricted paths and download system files. Sunnet eHRD presenta un filtrado inapropiado de caracteres especiales en las URL, que permite a un atacante remoto llevar a cabo ataques de salto de ruta sin autenticación, acceder a rutas restringidas y descargar archivos del sistema • https://www.twcert.org.tw/tw/cp-132-5353-4ebee-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10510 – Sunnet eHRD - Broken Access Control
https://notcve.org/view.php?id=CVE-2020-10510
Sunnet eHRD, a human training and development management system, contains a vulnerability of Broken Access Control. After login, attackers can use a specific URL, access unauthorized functionality and data. Sunnet eHRD, un sistema de gestión de desarrollo y capacitación humana, contiene una vulnerabilidad de Control de Acceso Roto. Después de iniciar sesión, atacantes pueden usar una URL específica, acceder a una funcionalidad y a datos no autorizados. • https://www.chtsecurity.com/news/30772cf1-2e7e-4afe-9282-b5a196b22e71 https://www.twcert.org.tw/tw/cp-132-3450-69466-1.html • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10509 – Sunnet eHRD - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-10509
Sunnet eHRD, a human training and development management system, contains vulnerability of Cross-Site Scripting (XSS), attackers can inject arbitrary command into the system and launch XSS attack. Sunnet eHRD, un sistema de gestión de desarrollo y capacitación humana, contiene una vulnerabilidad de tipo Cross-Site Scripting (XSS), atacantes pueden inyectar comandos arbitrarios al sistema e iniciar un ataque de tipo XSS. • https://www.chtsecurity.com/news/30772cf1-2e7e-4afe-9282-b5a196b22e71 https://www.twcert.org.tw/tw/cp-132-3449-c87d8-1.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •