Uwierzytelniony atakujący może wstrzyknąć dowolny kod JavaScript do krytycznych parametrów.
Numer CVE
CVE-2021-43938
Krytyczność
8.1/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Nieuwierzytelniony użytkownik może żądać różnych plików z serwera bez uwierzytelniania lub autoryzacji.
Numer CVE
CVE-2021-43934
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Serwer posiada funkcję, która umożliwia przesyłanie aktualizacji aplikacji; jednak weryfikacja nie jest wymagana, co umożliwia złośliwym użytkownikom przesyłanie dowolnych plików.
Numer CVE
CVE-2021-43930
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Oprogramowanie używa zewnętrznych danych wejściowych do skonstruowania nazwy ścieżki, która powinna znajdować się w katalogu z ograniczeniami, ale nie neutralizuje prawidłowo sekwencji ukośnych kropek, które mogą być rozpoznane w lokalizacji znajdującej się poza tym katalogiem.
Atakujący może wstrzyknąć kod JavaScript do określonego parametru, który może zostać wykonany po uzyskaniu dostępu do pulpitu nawigacyjnego lub strony głównej.
Numer CVE
CVE-2021-43939
Krytyczność
8.8/10
CVSS
AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Opis
Nisko uwierzytelniony użytkownik może uzyskać dostęp do autoryzacji administracyjnego wyższego poziomu, wysyłając żądania bezpośrednio do żądanych punktów końcowych.
Numer CVE
CVE-2021-43934
Krytyczność
9.8/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis
Nisko uwierzytelniony użytkownik może uzyskać dostęp do autoryzacji administracyjnego wyższego poziomu, wysyłając żądania bezpośrednio do żądanych punktów końcowych.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny