CVSS: 4.3EPSS: 0%CPEs: 36EXPL: 0CVE-2010-2422
https://notcve.org/view.php?id=CVE-2010-2422
23 Jun 2010 — Cross-site scripting (XSS) vulnerability in PortalTransforms in Plone 2.1 through 3.3.4 before hotfix 20100612 allows remote attackers to inject arbitrary web script or HTML via the safe_html transform. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en PortalTransforms en Plone v2.1 hasta v3.3.4 anterior hotfix 20100612 permite a atacantes remotos inyectar código web o HTML de su elección a través de safe_html transform. • http://plone.org/products/plone/security/advisories/cve-2010-unassigned-html-injection-in-safe_html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.0EPSS: 0%CPEs: 7EXPL: 0CVE-2009-0662
https://notcve.org/view.php?id=CVE-2009-0662
23 Apr 2009 — The PlonePAS product 3.x before 3.9 and 3.2.x before 3.2.2, a product for Plone, does not properly handle the login form, which allows remote authenticated users to acquire the identity of an arbitrary user via unspecified vectors. El producto PlonePAS 3.x anterior a la version 3.9 y 3.2.x en versiones anteriores a la 3.2.2, un producto para Plone, no maneja adecuadamente el formulario de login, lo que permite a atacantes remotos autenticados adquirir la identidad de un usuario de su elección a través de ve... • http://osvdb.org/53975 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 1CVE-2008-4571
https://notcve.org/view.php?id=CVE-2008-4571
15 Oct 2008 — Cross-site scripting (XSS) vulnerability in the LiveSearch module in Plone before 3.0.4 allows remote attackers to inject arbitrary web script or HTML via the Description field for search results, as demonstrated using the onerror Javascript even in an IMG tag. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el módulo LiveSearch de Plone antes de 3.0.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML mediante el campo Description para resultados de búsqueda, como s... • http://dev.plone.org/plone/ticket/7439 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 1%CPEs: 2EXPL: 1CVE-2008-0164
https://notcve.org/view.php?id=CVE-2008-0164
20 Mar 2008 — Multiple cross-site request forgery (CSRF) vulnerabilities in Plone CMS 3.0.5 and 3.0.6 allow remote attackers to (1) add arbitrary accounts via the join_form page and (2) change the privileges of arbitrary groups via the prefs_groups_overview page. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Plone CMS 3.0.5 y 3.0.6 permite a atacantes remotos (1) añadir cuentas de su elección desde la página join_form y (2) cambiar los privilegios de grupos de su elección desde la p... • http://plone.org/about/security/advisories/cve-2008-0164 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 10.0EPSS: 7%CPEs: 2EXPL: 2CVE-2008-1393
https://notcve.org/view.php?id=CVE-2008-1393
20 Mar 2008 — Plone CMS 3.0.5, and probably other 3.x versions, places a base64 encoded form of the username and password in the __ac cookie for the admin account, which makes it easier for remote attackers to obtain administrative privileges by sniffing the network. Plone CMS 3.0.5, y probablemente otras versiones 3.x, coloca en formato codificado base64 el nombre de usuario y contraseña del usuario admin en la cookie __ac, facilitando a atacantes remotos la obtención de privilegios de adminitrador mediante la escucha d... • http://plone.org/documentation/how-to/secure-login-without-plain-text-passwords • CWE-255: Credentials Management Errors •
CVSS: 7.5EPSS: 1%CPEs: 7EXPL: 0CVE-2008-1394
https://notcve.org/view.php?id=CVE-2008-1394
20 Mar 2008 — Plone CMS before 3 places a base64 encoded form of the username and password in the __ac cookie for all user accounts, which makes it easier for remote attackers to obtain access by sniffing the network. Plone CMS versiones anteriores a 3 pone en formato codificado base64 el nombre de usuario y la contraseña de todos los usuarios en la cookie __ac, facilitando a atacantes remotos obtener acceso mediante la escucha del tráfico de red. • http://plone.org/about/security/overview/security-overview-of-plone • CWE-255: Credentials Management Errors •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1395
https://notcve.org/view.php?id=CVE-2008-1395
20 Mar 2008 — Plone CMS does not record users' authentication states, and implements the logout feature solely on the client side, which makes it easier for context-dependent attackers to reuse a logged-out session. Plone CMS no registra el estado de autenticación de los usarios, e implementa la función de desconexión sólo en el lado del cliente, facilitando la reutilización de sesiones finalizadas por atacantes dependientes del contexto. • http://securityreason.com/securityalert/3754 • CWE-287: Improper Authentication •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2008-1396
https://notcve.org/view.php?id=CVE-2008-1396
20 Mar 2008 — Plone CMS 3.x uses invariant data (a client username and a server secret) when calculating an HMAC-SHA1 value for an authentication cookie, which makes it easier for remote attackers to gain permanent access to an account by sniffing the network. Plone CMS 3.x utiliza datos no variables (un nombre de usario y un servidor secreto) cuando calcula un valor HMAC-SHA1 para la cookie de autenticación, facilitando que atacantes remotos obtengan acceso permanente a una cuenta mediante la escucha del tráfico de red. • http://securityreason.com/securityalert/3754 • CWE-255: Credentials Management Errors •
CVSS: 9.8EPSS: 2%CPEs: 8EXPL: 0CVE-2007-5741
https://notcve.org/view.php?id=CVE-2007-5741
07 Nov 2007 — Plone 2.5 through 2.5.4 and 3.0 through 3.0.2 allows remote attackers to execute arbitrary Python code via network data containing pickled objects for the (1) statusmessages or (2) linkintegrity module, which the module unpickles and executes. Plone 2.5 hasta 2.5.4 y 3.0 hasta 3.0.2 permite a atacantes remotos ejecutar código Python de su elección mediante información de red que contiene objetos "serializados" (pickled) para los módulos (1) statusmessages o (2) linkintegrity, los cuales son "deserializados"... • http://osvdb.org/42071 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2006-4249
https://notcve.org/view.php?id=CVE-2006-4249
07 Dec 2006 — Unspecified vulnerability in PlonePAS in Plone 2.5 and 2.5.1, when anonymous member registration is enabled, allows an attacker to "masquerade as a group." Vulnerabilidad no especificada en PlonePAS en Plone 2.5 y 2.5.1, cuando está habilitado el registro de miembros anónimos, permite a un atacante "hacerse pasar por un grupo". • http://plone.org/about/security/advisories/cve-2006-4249 •