Page 10 of 58 results (0.026 seconds)

CVSS: 6.0EPSS: 3%CPEs: 114EXPL: 0

The PL/perl and PL/Tcl implementations in PostgreSQL 7.4 before 7.4.30, 8.0 before 8.0.26, 8.1 before 8.1.22, 8.2 before 8.2.18, 8.3 before 8.3.12, 8.4 before 8.4.5, and 9.0 before 9.0.1 do not properly protect script execution by a different SQL user identity within the same session, which allows remote authenticated users to gain privileges via crafted script code in a SECURITY DEFINER function, as demonstrated by (1) redefining standard functions or (2) redefining operators, a different vulnerability than CVE-2010-1168, CVE-2010-1169, CVE-2010-1170, and CVE-2010-1447. Las implementaciones PL/perl y PL/Tcl en PostgreSQL v7.4 anterior a v7.4.30, v8.0 anterior a v8.0.26, v8.1 anterior a v8.1.22, v8.2 anterior a v8.2.18, v8.3 anterior a v8.3.12, v8.4 anterior a v8.4.5, and v9.0 anterior a v9.0.1 no protegen adecuadamente la ejecución de secuencias de comandos de una identidad de usuario SQL diferente en la misma sesión, lo que permite a usuarios autenticados remotamente ganar privilegios a través de secuencias de comandos manipuladas en una función SECURITY DEFINER, como se demostró con (1) redefinir funciones estandar o (2) redefinir operadores. Una vulnerabilidad diferente de CVE-2010-1168, CVE-2010-1169, CVE-2010-1170, y CVE-2010-1447. • http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705 http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049591.html http://lists.fedoraproject.org/pipermail/package-announce/2010-October/049592.html http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00006.html http://lists.opensuse.org/opensuse-security-announce/2010-11/msg00001.html http://marc.info/?l=bugtraq&m=134124585221119&w=2 http://secunia.com/advisories/42325 http://www.debian.org/security/2010&# • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 8.5EPSS: 0%CPEs: 110EXPL: 0

PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, 8.4 before 8.4.4, and 9.0 Beta before 9.0 Beta 2 does not properly restrict PL/perl procedures, which allows remote authenticated users, with database-creation privileges, to execute arbitrary Perl code via a crafted script, related to the Safe module (aka Safe.pm) for Perl. NOTE: some sources report that this issue is the same as CVE-2010-1447. Vulnerabilidad en PostgreSQL v7.4 anterior a v7.4.29, v8.0 anterior a v8.0.25, v8.1 anterior a v8.1.21, v8.2 anterior a v8.2.17, v8.3 anterior a v8.3.11, v8.4 anterior a v8.4.4 y v9.0 Beta anterior a 9.0 Beta 2 no restringe adecuadamente procedimientos PL/perl, que permiten a usuarios autenticados remotamente, con privilegios "database-creation", ejecutar código Perl de su elección a través de una secuencia de comandos manipulada, referida al módulo Safe (también conocido como Safe.pm) para Perl. • http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041559.html http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041579.html http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041591.html http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00001.html http://marc.info/?l=bugtraq&m=134124585221119&w=2 http://osvdb.org/64755 http://secunia.com/advisories/39815 http://secunia.com/advisories/39820 http://secunia.com/advisories/39845 ht • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 6.0EPSS: 0%CPEs: 110EXPL: 0

The PL/Tcl implementation in PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, 8.4 before 8.4.4, and 9.0 Beta before 9.0 Beta 2 loads Tcl code from the pltcl_modules table regardless of the table's ownership and permissions, which allows remote authenticated users, with database-creation privileges, to execute arbitrary Tcl code by creating this table and inserting a crafted Tcl script. Vulnerabilidad en la implementación PL/Tcl en PostgreSQL v7.4 anterior a v7.4.29, v8.0 anterior a v8.0.25, v8.1 anterior a v8.1.21, v8.2 anterior a v8.2.17, v8.3 anterior a v8.3.11, v8.4 anterior a v8.4.4 y v9.0 Beta anterior a v9.0 Beta 2, carga código Tcl desde la tabla pltcl_modules sin importar el propietario y los permisos de la tabla, permite a usuarios autenticados remotamente, con privilegios "database-creation", ejecutar código Tcl de su elección mediante la creación de esta tabla e insertando código Tcl manipulado. • http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041559.html http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041579.html http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041591.html http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00001.html http://marc.info/?l=bugtraq&m=134124585221119&w=2 http://osvdb.org/64757 http://secunia.com/advisories/39815 http://secunia.com/advisories/39820 http://secunia.com/advisories/39845 ht • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 8.5EPSS: 0%CPEs: 110EXPL: 0

The Safe (aka Safe.pm) module 2.26, and certain earlier versions, for Perl, as used in PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, 8.4 before 8.4.4, and 9.0 Beta before 9.0 Beta 2, allows context-dependent attackers to bypass intended (1) Safe::reval and (2) Safe::rdo access restrictions, and inject and execute arbitrary code, via vectors involving subroutine references and delayed execution. Vulnerabilidad en PostgreSQL v7.4 anterior a v7.4.29, v8.0 anterior a v8.0.25, v8.1 anterior a v8.1.21, v8.2 anterior a v8.2.17, v8.3 anterior a v8.3.11, v8.4 anterior a v8.4.4, y v9.0 Beta anterior a v9.0 Beta 2, no restringe adecuadamente procedimientos PL/perl, lo que podría permitir a atacantes remotos ejecutar código Perl de su elección a través de una secuencia de comandos manipulada, relacionada con el módulo Safe (también conocido como Safe.pm) para Perl. • http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705 http://osvdb.org/64756 http://secunia.com/advisories/39845 http://secunia.com/advisories/40049 http://secunia.com/advisories/40052 http://security-tracker.debian.org/tracker/CVE-2010-1447 http://www.debian.org/security/2011/dsa-2267 http://www.mandriva.com/security/advisories?name=MDVSA-2010:115 http://www.mandriva.com/security/advisories?name=MDVSA-2010:116 http://www.openwall.com/lists/oss-security/2010/05/2 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 5.5EPSS: 0%CPEs: 110EXPL: 0

PostgreSQL 7.4 before 7.4.29, 8.0 before 8.0.25, 8.1 before 8.1.21, 8.2 before 8.2.17, 8.3 before 8.3.11, and 8.4 before 8.4.4 does not properly check privileges during certain RESET ALL operations, which allows remote authenticated users to remove arbitrary parameter settings via a (1) ALTER USER or (2) ALTER DATABASE statement. PostgreSQL v7.4 anterior a v7.4.29, v8.0 anterior a v8.0.25, v8.1 anterior a v8.1.21, v8.2 anterior a v8.2.17, v8.3 anterior a v8.3.11, y v8.4 anterior a v8.4.4 no valida adecuadamente los privilegios durante ciertas operaciones RESET ALL, lo cual permite a usuarios remotos autenticados borrar parametros de configuración a su elección a través de las instrucciónes (1) ALTER USER o (2) ALTER DATABASE. • http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00001.html http://marc.info/?l=bugtraq&m=134124585221119&w=2 http://secunia.com/advisories/39939 http://www.debian.org/security/2010/dsa-2051 http://www.mandriva.com/security/advisories?name=MDVSA-2010:103 http://www.postgresql.org/docs/current/static/release-7-4-29.html http://www.postgresql.org/docs/current/static/release-8-0-25.html http://www.postgresql.org/docs/current/static/release-8-1-21.html http: • CWE-264: Permissions, Privileges, and Access Controls •