Page 11 of 61 results (0.012 seconds)

CVSS: 1.9EPSS: 0%CPEs: 1EXPL: 0

The Add Member dialog in the Security admin page in SilverStripe 2.4.0 saves user passwords in plaintext, which allows local users to obtain sensitive information by reading a database. El diálogo Add Member en la página de administración de seguridad en SilverStripe v2.4.0 guarda las contraseñas de usuario en texto plano sin cifrar, lo que permite a usuarios locales obtener información sensible a través de la lectura de la base de datos. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 http://open.silverstripe.org/changeset/107532 http://open.silverstripe.org/ticket/5772 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-255: Credentials Management Errors •

CVSS: 6.0EPSS: 0%CPEs: 14EXPL: 1

The setName function in filesystem/File.php in SilverStripe 2.3.x before 2.3.8 and 2.4.x before 2.4.1 allows remote authenticated users with CMS author privileges to execute arbitrary PHP code by changing the extension of an uploaded file. La función setName en filesystem/File.php in SilverStripe v2.3.x anterior a v2.3.8 y v2.4.x anterior a v2.4.1 permite a usuarios remotos autenticados con privilegios de autor del CMS ejecutar código PHP arbitrario cambiando la extensión de un fichero subido. • http://dl.packetstormsecurity.net/1006-exploits/silverstripe-shell.txt http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.8 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 http://open.silverstripe.org/changeset/107273 http://open.silverstripe.org/ticket/5693 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 4.0EPSS: 0%CPEs: 27EXPL: 0

SilverStripe before 2.4.2 allows remote authenticated users to change administrator passwords via vectors related to admin/security. SilverStripe anterior a v2.4.2 permite a usuarios remotos autenticados cambiar la contraseña de administrador a través de vectores relacionados con admin/security. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.2 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.8EPSS: 0%CPEs: 19EXPL: 0

The Security/changepassword URL action in SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 passes a token as a GET parameter while changing a password through email, which allows remote attackers to obtain sensitive data and hijack the session via the HTTP referer logs on a server, aka "HTTP referer leakage." La acción en la URL Security/changepassword en SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 pasa una muestra (token) como un parámetro GET mientras se está cambiando una contraseña a través de un correo electrónico, que permite a atacantes remotos obtener información sensible y secuestrar la sesión a través de los registros referer HTTP en un servidor, también conocido como "HTTP referer leakage". • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/114758 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www. • CWE-255: Credentials Management Errors CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.0EPSS: 0%CPEs: 20EXPL: 2

SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 allows remote attackers to bypass the cross-site request forgery (CSRF) protection mechanism and hijack the authentication of administrators via vectors related to "form action requests" using a controller. SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 permite a atacantes remotos saltarse el mecanismo de protección contra solicitudes falsificadas en sitios cruzados (CSRF) y secuestrar la autenticación de los administradores a través de vectores relacionados con el formulario de solicitud de acción (form action request) usando un controlador. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/115182 http://open.silverstripe.org/changeset/115185 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/ • CWE-264: Permissions, Privileges, and Access Controls •