Cve

PwnDoc fino alla versione 0.5.3 consente agli attaccanti remoti di identificare i nomi utente di account disabilitati sfruttando i messaggi di risposta durante i tentativi di autenticazione. Prodotto CVE Punteggio CVSSv3 CWE PwnDoc CVE-2022-44023 5.3 (Medio) CWE-307 Exploitation Steps Questa vulnerabilità consente l’enumerazione dei nomi utente degli account disabilitati in PwnDoc (testato sulla versione 0.5.3 - 2022-07-19) osservando le risposte del server ai tentativi di login. Scenario Esempio: Supponiamo che i seguenti utenti siano stati registrati e successivamente disabilitati in PwnDoc:...

PwnDoc fino alla versione 0.5.3 consente agli attaccanti remoti di identificare i nomi utente validi sfruttando i tempi di risposta durante i tentativi di autenticazione. Prodotto CVE Punteggio CVSSv3 CWE PwnDoc CVE-2022-44022 5.3 (Medio) CWE-307 Exploitation Steps Questa vulnerabilità consente l’enumerazione degli utenti in PwnDoc (testato sulla versione 0.5.3 - 2022-07-19 e precedenti) osservando i tempi di risposta del server web durante i tentativi di accesso. Scenario Esempio: Supponiamo che i seguenti utenti siano registrati in PwnDoc:...

Nelle versioni di XWiki Platform precedenti alla 12.8, alcuni campi, come “Azienda” nella sezione di modifica del profilo utente, sono vulnerabili ad attacchi di Stored Cross Site Scripting (XSS) a causa di una gestione impropria dell’escaping. Prodotto CVE Punteggio CVSSv3 CWE XWiki CVE-2020-13654 7.5 (Alto) CWE-116 Exploitation Steps Questa vulnerabilità consente a un attaccante di iniettare script dannosi in determinati campi (ad esempio, “Azienda”) nella sezione del profilo utente. Gli script vengono poi eseguiti nel browser di qualsiasi utente che visualizza la pagina....