Easycorp

Zentao

16 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
8.8

CVE-2022-47745

Exploit
  • EPSS 0.27%
  • Veröffentlicht 19.01.2023 18:15:15
  • Zuletzt bearbeitet 04.04.2025 14:15:20

ZenTao 16.4 to 18.0.beta1 is vulnerable to SQL injection. After logging in with any user, you can complete SQL injection by constructing a special request and sending it to function importNotice.

7.5

CVE-2022-37700

Exploit
  • EPSS 2.21%
  • Veröffentlicht 19.09.2022 16:15:11
  • Zuletzt bearbeitet 21.11.2024 07:15:04

Zentao Demo15 is vulnerable to Directory Traversal. The impact is: obtain sensitive information (remote). The component is: URL : view-source:https://demo15.zentao.pm/user-login.html/zentao/index.php?mode=getconfig.

9

CVE-2021-27556

Exploit
  • EPSS 7.13%
  • Veröffentlicht 31.08.2021 03:15:06
  • Zuletzt bearbeitet 21.11.2024 05:58:11

The Cron job tab in EasyCorp ZenTao 12.5.3 allows remote attackers (who have admin access) to execute arbitrary code by setting the type parameter to System.

4.3

CVE-2021-27557

Exploit
  • EPSS 0.12%
  • Veröffentlicht 31.08.2021 03:15:06
  • Zuletzt bearbeitet 21.11.2024 05:58:11

A cross-site request forgery (CSRF) vulnerability in the Cron job tab in EasyCorp ZenTao 12.5.3 allows attackers to update the fields of a Cron job.

6.1

CVE-2021-27558

Exploit
  • EPSS 0.22%
  • Veröffentlicht 31.08.2021 03:15:06
  • Zuletzt bearbeitet 21.11.2024 05:58:11

A cross site scripting (XSS) issue in EasyCorp ZenTao 12.5.3 allows remote attackers to execute arbitrary web script via various areas such as data-link-creator.

9.8

CVE-2020-28165

  • EPSS 0.6%
  • Veröffentlicht 12.08.2021 12:15:07
  • Zuletzt bearbeitet 21.11.2024 05:22:25

The EasyCorp ZenTao PMS 12.4.2 application suffers from an arbitrary file upload vulnerability. An attacker can upload arbitrary webshell to the server by using the downloadZipPackage() function.