CVE-2023-35851 – SUNNET WMPro - SQL Injection
https://notcve.org/view.php?id=CVE-2023-35851
SUNNET WMPro portal's FAQ function has insufficient validation for user input. An unauthenticated remote attacker can inject arbitrary SQL commands to obtain sensitive information via a database. La función de preguntas frecuentes del portal SUNNET WMPro no tiene una validación suficiente para la entrada del usuario. Un atacante remoto no autenticado puede inyectar comandos SQL arbitrarios para obtener información sensible a través de una base de datos. • https://www.twcert.org.tw/tw/cp-132-7372-3994a-1.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2023-35850 – SUNNET WMPro - Command Injection
https://notcve.org/view.php?id=CVE-2023-35850
SUNNET WMPro portal's file management function has a vulnerability of insufficient filtering for user input. A remote attacker with administrator privilege or a privileged account can exploit this vulnerability to inject and execute arbitrary system commands to perform arbitrary system operations or disrupt service. La función de administración de archivos del portal SUNNET WMPro tiene una vulnerabilidad de filtrado insuficiente para la entrada del usuario. Un atacante remoto con privilegios de administrador o una cuenta privilegiada puede aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema para realizar operaciones arbitrarias del sistema o interrumpir el servicio. • https://www.twcert.org.tw/tw/cp-132-7373-4ef46-1.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2019-11062 – SUNNET WMPro v5.0 and v5.1 has OS Command Injection
https://notcve.org/view.php?id=CVE-2019-11062
The SUNNET WMPro v5.0 and v5.1 for eLearning system has OS Command Injection via "/teach/course/doajaxfileupload.php". The target server can be exploited without authentication. El sistema SUNNET WMPro v5.0 y v5.1 para eLearning tiene la inyección de comandos del sistema operativo a través de "/teach/course/doajaxfileupload.php". El servidor de destino se puede explotar sin autenticación • http://surl.twcert.org.tw/hLFFM https://gist.github.com/tonykuo76/476164af9bc672281b9a3394f01c17f0 https://tvn.twcert.org.tw/taiwanvn/TVN-201906001 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •