Sherparpa

Sherpa Orchestrator

4 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
6.1

CVE-2025-46547

  • EPSS 0.09%
  • Veröffentlicht 25.04.2025 00:00:00
  • Zuletzt bearbeitet 16.10.2025 20:33:34

In Sherpa Orchestrator 141851, the web application lacks protection against CSRF attacks, with resultant effects of an attacker conducting XSS attacks, adding a new user or role, or exploiting a SQL injection issue.

6.5

CVE-2025-46544

  • EPSS 0.2%
  • Veröffentlicht 25.04.2025 00:00:00
  • Zuletzt bearbeitet 15.10.2025 18:34:37

In Sherpa Orchestrator 141851, a low-privileged user can elevate their privileges by creating new users and roles.

4.8

CVE-2025-46545

  • EPSS 0.19%
  • Veröffentlicht 25.04.2025 00:00:00
  • Zuletzt bearbeitet 15.10.2025 18:30:33

In Sherpa Orchestrator 141851, the functionality for adding or updating licenses allows for stored XSS attacks by an administrator through the name parameter. The XSS payload can execute when the license expires.

8.8

CVE-2025-46546

  • EPSS 0.19%
  • Veröffentlicht 25.04.2025 00:00:00
  • Zuletzt bearbeitet 16.10.2025 20:42:14

In Sherpa Orchestrator 141851, multiple time-based blind SQL injections can be performed by an authenticated user. This affects api/gui/asset/list, /api/gui/files/export/csv/, /api/gui/files/list, /api/gui/process/export/csv, /api/gui/process/export/...