2 results (0.014 seconds)

CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0

webauth before 4.6.1 has authentication credential disclosure webauth versiones anteriores a 4.6.1, presenta una divulgación de credenciales de autenticación. • http://www.openwall.com/lists/oss-security/2013/05/18/6 https://access.redhat.com/security/cve/cve-2013-2106 https://security-tracker.debian.org/tracker/CVE-2013-2106 • CWE-522: Insufficiently Protected Credentials •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

weblogin/login.fcgi (aka the WebLogin login script) in Stanford University WebAuth 3.5.5, 3.6.0, and 3.6.1 places passwords in URLs in certain circumstances involving conversion of a POST request to a GET request, which allows context-dependent attackers to discover passwords by reading (1) web-server access logs, (2) web-server Referer logs, or (3) the browser history. weblogin/login.fcgi (alias el script de conexión WebLogin) en WebAuth de la Universidad de Stanford v3.5.5, v3.6.0 y v3.6.1 coloca contraseñas en en las URL en determinadas circunstancias que implique una conversión de una solicitud POST a una petición GET, lo cual permite a atacantes dependiendo del contexto descubrir contraseñas mediante la lectura de (1) registros de acceso al servidor web, (2) registros Referer del servidor web, o (3) el historial del navegador. • http://secunia.com/advisories/36640 http://webauth.stanford.edu/security/2009-09-10.html • CWE-255: Credentials Management Errors •