Page 11 of 56 results (0.011 seconds)

CVSS: 4.3EPSS: 0%CPEs: 27EXPL: 0

SilverStripe before 2.4.2 does not properly restrict access to pages in draft mode, which allows remote attackers to obtain sensitive information. SilverStripe anterior a v2.4.2 no restringe el acceso adecuadamente a las páginas en modo borrador, lo cual permite a atacantes remotos obtener información sensible. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.2 http://open.silverstripe.org/changeset/110757 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 2.1EPSS: 0%CPEs: 1EXPL: 1

Cross-site scripting (XSS) vulnerability in admin/EditForm in SilverStripe 2.4.6 allows remote authenticated users with Content Authors privileges to inject arbitrary web script or HTML via the Title parameter. NOTE: some of these details are obtained from third party information. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/EditForm in SilverStripe v2.4.6 permite a usuarios remotos autenticados con privilegios de los autores de contenido para inyectar secuencias de comandos web o HTML a través del parámetro de título. NOTA: algunos de estos detalles han sido obtenidos de información de terceros. • http://doc.silverstripe.org/framework/en/trunk/changelogs/2.3.13 http://doc.silverstripe.org/framework/en/trunk/changelogs/2.4.7 http://osvdb.org/78677 http://packetstormsecurity.org/files/view/109210/silverstripecmspage-xss.txt http://secunia.com/advisories/47812 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.securityfocus.com/bid/51761 https://exchange.xforce.ibmcloud.com/vulnerabilities/72820 https://github.com/silverstripe/sapphire/commit/252e187 https:/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 19EXPL: 2

Multiple cross-site scripting (XSS) vulnerabilities in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (1) the CommenterURL parameter to PostCommentForm, and in the Forum module before 0.2.5 in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (2) the Search parameter to forums/search (aka the search script). Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en SilverStripe anterior a v2.3.5, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través 1) el parámetro CommenterURL en PostCommentForm, y en el módulo Forum anterior a v0.2.5 en SilverStripe anterior a v2.3.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (2) el parámetro Search en forums/search (también conocido como la secuencia de comandos de búsqueda). • http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0450.html http://groups.google.com/group/silverstripe-announce/browse_thread/thread/f51749342eee9456 http://open.silverstripe.org/changeset/97074 http://open.silverstripe.org/wiki/ChangeLog/2.3.5 http://osvdb.org/61921 http://osvdb.org/61923 http://secunia.com/advisories/38290 http://secunia.com/advisories/38347 http://www.securityfocus.com/archive/1/509139/100/0/threaded http://www.securityfocus.com/bid/37923 http:/& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0

SQL injection vulnerability in SilverStripe before 2.2.2 allows remote attackers to execute arbitrary SQL commands via unspecified vectors related to AjaxUniqueTextField. Vulnerabilidad de inyección SQL en SilverStripe anterior a v2.2.2 permite a atacantes remotos ejecutar comandos SQL a su elección a través de vectores no especificados relacionados con AjaxUniqueTextField. • http://silverstripe.org/archive/show/43794 http://www.openwall.com/lists/oss-security/2009/04/13/2 http://www.securityfocus.com/bid/34852 https://exchange.xforce.ibmcloud.com/vulnerabilities/50368 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 7.5EPSS: 0%CPEs: 15EXPL: 0

SQL injection vulnerability in File::find (filesystem/File.php) in SilverStripe before 2.3.1 allows remote attackers to execute arbitrary SQL commands via the filename parameter. Vulnerabilidad de inyección SQL en File::find (filesystem/File.php) in SilverStripe antes de v2.3.1 permite a atacantes remotos ejecutar comandos SQL a través del parámetro de nombre de archivo. • http://open.silverstripe.com/ticket/3721 http://open.silverstripe.com/wiki/ChangeLog/2.3.1 http://osvdb.org/53589 http://secunia.com/advisories/34633 http://www.securityfocus.com/bid/34485 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •