CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2025-1983 – Stored Cross-Site Scripting in Ready_
https://notcve.org/view.php?id=CVE-2025-1983
16 Apr 2025 — A cross-site scripting (XSS) vulnerability in Ready_'s File Explorer upload functionality allows injection of arbitrary JavaScript code in filename. Injected content is stored on server and is executed every time a user interacts with the uploaded file. Una vulnerabilidad de cross-site scripting (XSS) en la función de carga del explorador de archivos de Ready_ permite la inyección de código JavaScript arbitrario en el nombre del archivo. El contenido inyectado se almacena en el servidor y se ejecuta cada ve... • https://cert.pl/en/posts/2025/04/CVE-2025-1980 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.1EPSS: 0%CPEs: 2EXPL: 0CVE-2025-1982 – Local File Inclusion in Ready_
https://notcve.org/view.php?id=CVE-2025-1982
16 Apr 2025 — Local File Inclusion vulnerability in Ready's attachment upload panel allows low privileged user to provide link to a local file using the file:// protocol thus allowing the attacker to read content of the file. This vulnerability can be use to read content of system files. La vulnerabilidad de inclusión de archivos locales en el panel de carga de adjuntos de Ready permite a un usuario con pocos privilegios proporcionar un enlace a un archivo local mediante el protocolo file://, lo que permite al atacante l... • https://cert.pl/en/posts/2025/04/CVE-2025-1980 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 9.4EPSS: 0%CPEs: 2EXPL: 0CVE-2025-1981 – SQL Injection in Ready_
https://notcve.org/view.php?id=CVE-2025-1981
16 Apr 2025 — Improper neutralization of input provided by a low-privileged user into a file search functionality in Ready_'s Invoices module allows for SQL Injection attacks. La neutralización incorrecta de la entrada proporcionada por un usuario con bajos privilegios en una función de búsqueda de archivos en el módulo facturas de Ready_ permite ataques de inyección SQL. • https://cert.pl/en/posts/2025/04/CVE-2025-1980 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.4EPSS: 0%CPEs: 2EXPL: 0CVE-2025-1980 – Remote Code Execution via Unrestricted File Upload in Ready_
https://notcve.org/view.php?id=CVE-2025-1980
16 Apr 2025 — The Ready_ application's Profile section allows users to upload files of any type and extension without restriction. If the server is misconfigured, as it was by default when installed at the turn of 2021 and 2022, it can result in Remote Code Execution. Refer to the Required Configuration for Exposure section for more information. La sección perfil de la aplicación Ready_ permite a los usuarios cargar archivos de cualquier tipo y extensión sin restricciones. Si el servidor está mal configurado, como estaba... • https://cert.pl/en/posts/2025/04/CVE-2025-1980 • CWE-434: Unrestricted Upload of File with Dangerous Type •