CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43360 – Sunnet eHRD - Insecure Deserialization
https://notcve.org/view.php?id=CVE-2021-43360
01 Dec 2021 — Sunnet eHRD e-mail delivery task schedule’s serialization function has inadequate input object validation and restriction, which allows a post-authenticated remote attacker with database access privilege, to execute arbitrary code and control the system or interrupt services. La función e-mail delivery task schedule’s serialization de Sunnet eHRD presenta una comprobación y restricción de objetos de entrada inapropiadas, que permite a un atacante remoto no autenticado con privilegios de acceso a la base de ... • https://www.twcert.org.tw/tw/cp-132-5355-6e339-1.html • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.0EPSS: 1%CPEs: 2EXPL: 0CVE-2021-43359 – Sunnet eHRD - Broken Access Control
https://notcve.org/view.php?id=CVE-2021-43359
01 Dec 2021 — Sunnet eHRD has broken access control vulnerability, which allows a remote attacker to access account management page after being authenticated as a general user, then perform privilege escalation to execute arbitrary code and control the system or interrupt services. Sunnet eHRD presenta una vulnerabilidad de control de acceso rota, que permite a un atacante remoto acceder a la página de administración de cuentas después de ser autenticado como usuario general, y luego llevar a cabo una escalada de privile... • https://www.twcert.org.tw/tw/cp-132-5354-0aac0-1.html • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43358 – Sunnet eHRD - Path Traversal
https://notcve.org/view.php?id=CVE-2021-43358
01 Dec 2021 — Sunnet eHRD has inadequate filtering for special characters in URLs, which allows a remote attacker to perform path traversal attacks without authentication, access restricted paths and download system files. Sunnet eHRD presenta un filtrado inapropiado de caracteres especiales en las URL, que permite a un atacante remoto llevar a cabo ataques de salto de ruta sin autenticación, acceder a rutas restringidas y descargar archivos del sistema • https://www.twcert.org.tw/tw/cp-132-5353-4ebee-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10510 – Sunnet eHRD - Broken Access Control
https://notcve.org/view.php?id=CVE-2020-10510
27 Mar 2020 — Sunnet eHRD, a human training and development management system, contains a vulnerability of Broken Access Control. After login, attackers can use a specific URL, access unauthorized functionality and data. Sunnet eHRD, un sistema de gestión de desarrollo y capacitación humana, contiene una vulnerabilidad de Control de Acceso Roto. Después de iniciar sesión, atacantes pueden usar una URL específica, acceder a una funcionalidad y a datos no autorizados. • https://www.chtsecurity.com/news/30772cf1-2e7e-4afe-9282-b5a196b22e71 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10509 – Sunnet eHRD - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2020-10509
27 Mar 2020 — Sunnet eHRD, a human training and development management system, contains vulnerability of Cross-Site Scripting (XSS), attackers can inject arbitrary command into the system and launch XSS attack. Sunnet eHRD, un sistema de gestión de desarrollo y capacitación humana, contiene una vulnerabilidad de tipo Cross-Site Scripting (XSS), atacantes pueden inyectar comandos arbitrarios al sistema e iniciar un ataque de tipo XSS. • https://www.chtsecurity.com/news/30772cf1-2e7e-4afe-9282-b5a196b22e71 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10508 – Sunnet eHRD - Sensitive Data Exposure
https://notcve.org/view.php?id=CVE-2020-10508
27 Mar 2020 — Sunnet eHRD, a human training and development management system, improperly stores system files. Attackers can use a specific URL and capture confidential information. Sunnet eHRD, un sistema de gestión de desarrollo y capacitación humana, almacena inapropiadamente unos archivos de sistema. Los atacantes pueden usar una URL específica y capturar información confidencial. • https://www.chtsecurity.com/news/30772cf1-2e7e-4afe-9282-b5a196b22e71 •