Page 17 of 87 results (0.002 seconds)

CVSS: 5.0EPSS: 1%CPEs: 12EXPL: 0

CVE-2010-5094

https://notcve.org/view.php?id=CVE-2010-5094

The deleteinstallfiles function in control/ContentController.php in SilverStripe 2.3.x before 2.3.7 does not require ADMIN permissions, which allows remote attackers to delete index.php and "disrupt mod_rewrite-less URL routing." La función deleteinstallfiles en control/ContentController.php en SilverStripe v2.3.x anterior a v2.3.7 no requiere permisos de adminstrador (ADMIN), lo cual permite a atacantes remotos borrar el fichero index.php e interrumpir el enrutado URL enmod_rewrite-less (disrupt mod_rewrite-less URL routing). • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.7 http://open.silverstripe.org/changeset/101227 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www.silverstripe.org/security-releases • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.3EPSS: 0%CPEs: 14EXPL: 0

CVE-2010-5187

https://notcve.org/view.php?id=CVE-2010-5187

SilverStripe 2.3.x before 2.3.8 and 2.4.x before 2.4.1, when running on servers with certain configurations, allows remote attackers to obtain sensitive information via a direct request to PHP files in the (1) sapphire, (2) cms, or (3) mysite folders, which reveals the installation path in an error message. SilverStripe v2.3.x anterior a v2.3.8 y v2.4.x anterior a v2.4.1, cuando está en ejecución el servidores con ciertas configuraciones, permite a atacantes remotos obtener información sensible a través de una petición directa a ficheros PHP en el (1) sapphire, (2) cms, o (3) carpetas mysite, lo que revela la ruta de instalación en un mensaje de error. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.8 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 2.1EPSS: 0%CPEs: 1EXPL: 1

CVE-2012-0976

https://notcve.org/view.php?id=CVE-2012-0976

Cross-site scripting (XSS) vulnerability in admin/EditForm in SilverStripe 2.4.6 allows remote authenticated users with Content Authors privileges to inject arbitrary web script or HTML via the Title parameter. NOTE: some of these details are obtained from third party information. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/EditForm in SilverStripe v2.4.6 permite a usuarios remotos autenticados con privilegios de los autores de contenido para inyectar secuencias de comandos web o HTML a través del parámetro de título. NOTA: algunos de estos detalles han sido obtenidos de información de terceros. • http://doc.silverstripe.org/framework/en/trunk/changelogs/2.3.13 http://doc.silverstripe.org/framework/en/trunk/changelogs/2.4.7 http://osvdb.org/78677 http://packetstormsecurity.org/files/view/109210/silverstripecmspage-xss.txt http://secunia.com/advisories/47812 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.securityfocus.com/bid/51761 https://exchange.xforce.ibmcloud.com/vulnerabilities/72820 https://github.com/silverstripe/sapphire/commit/252e187 https:/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 19EXPL: 2

CVE-2010-1593

https://notcve.org/view.php?id=CVE-2010-1593

Multiple cross-site scripting (XSS) vulnerabilities in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (1) the CommenterURL parameter to PostCommentForm, and in the Forum module before 0.2.5 in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (2) the Search parameter to forums/search (aka the search script). Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en SilverStripe anterior a v2.3.5, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través 1) el parámetro CommenterURL en PostCommentForm, y en el módulo Forum anterior a v0.2.5 en SilverStripe anterior a v2.3.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (2) el parámetro Search en forums/search (también conocido como la secuencia de comandos de búsqueda). • http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0450.html http://groups.google.com/group/silverstripe-announce/browse_thread/thread/f51749342eee9456 http://open.silverstripe.org/changeset/97074 http://open.silverstripe.org/wiki/ChangeLog/2.3.5 http://osvdb.org/61921 http://osvdb.org/61923 http://secunia.com/advisories/38290 http://secunia.com/advisories/38347 http://www.securityfocus.com/archive/1/509139/100/0/threaded http://www.securityfocus.com/bid/37923 http:/& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0

CVE-2008-6753

https://notcve.org/view.php?id=CVE-2008-6753

SQL injection vulnerability in SilverStripe before 2.2.2 allows remote attackers to execute arbitrary SQL commands via unspecified vectors related to AjaxUniqueTextField. Vulnerabilidad de inyección SQL en SilverStripe anterior a v2.2.2 permite a atacantes remotos ejecutar comandos SQL a su elección a través de vectores no especificados relacionados con AjaxUniqueTextField. • http://silverstripe.org/archive/show/43794 http://www.openwall.com/lists/oss-security/2009/04/13/2 http://www.securityfocus.com/bid/34852 https://exchange.xforce.ibmcloud.com/vulnerabilities/50368 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •