Page 2 of 41 results (0.007 seconds)

CVSS: 6.4EPSS: 0%CPEs: 3EXPL: 0

Directory traversal vulnerability in the _do_attachment_move function in the AttachFile action (action/AttachFile.py) in MoinMoin 1.9.3 through 1.9.5 allows remote attackers to overwrite arbitrary files via a .. (dot dot) in a file name. Vulnerabilidad de salto de directorio en la función _do_attachment_move en una acción AttachFile (action/AttachFile.py) en MoinMoin v1.9.3 hasta v1.9.5 permite a atacantes remotos sobreescribir archivos arbitrarios a través de .. (punto punto) en un nombre de archivo. • http://hg.moinmo.in/moin/1.9/rev/3c27131a3c52 http://moinmo.in/SecurityFixes http://secunia.com/advisories/51663 http://secunia.com/advisories/51676 http://secunia.com/advisories/51696 http://ubuntu.com/usn/usn-1680-1 http://www.debian.org/security/2012/dsa-2593 http://www.openwall.com/lists/oss-security/2012/12/30/6 http://www.securityfocus.com/bid/57076 https://bugs.launchpad.net/ubuntu/+source/moin/+bug/1094599 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 6.0EPSS: 95%CPEs: 79EXPL: 4

Multiple unrestricted file upload vulnerabilities in the (1) twikidraw (action/twikidraw.py) and (2) anywikidraw (action/anywikidraw.py) actions in MoinMoin before 1.9.6 allow remote authenticated users with write permissions to execute arbitrary code by uploading a file with an executable extension, then accessing it via a direct request to the file in an unspecified directory, as exploited in the wild in July 2012. Múltiples subidas de fichero sin restricción en las acciones 1) twikidraw (action/twikidraw.py) y (2) anywikidraw (action/anywikidraw.py) en MoinMoin antes de v1.9.6 permitie a usuarios remotos autenticados con permisos de escritura para ejecutar código arbitrario mediante la carga de un archivo con una extensión ejecutable, y acceder a el a través de una solicitud dirigida directamente al archivo en un directorio especificado, como se explotó en en julio de 2012. • https://www.exploit-db.com/exploits/26422 https://www.exploit-db.com/exploits/25304 http://hg.moinmo.in/moin/1.9/rev/7e7e1cbb9d3f http://moinmo.in/MoinMoinRelease1.9 http://moinmo.in/SecurityFixes http://secunia.com/advisories/51663 http://secunia.com/advisories/51676 http://secunia.com/advisories/51696 http://ubuntu.com/usn/usn-1680-1 http://www.debian.org/security/2012/dsa-2593 http://www.exploit-db.com/exploits/25304 http://www.openwall.com/lists/oss&# •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1

Cross-site scripting (XSS) vulnerability in the rsslink function in theme/__init__.py in MoinMoin 1.9.5 allows remote attackers to inject arbitrary web script or HTML via the page name in a rss link. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función rsslink en theme/__init__.py en MoinMoin 1.9.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del nombre de la página en un enlace RSS. • http://hg.moinmo.in/moin/1.9/rev/c98ec456e493 http://moinmo.in/SecurityFixes http://secunia.com/advisories/51663 http://www.openwall.com/lists/oss-security/2012/12/29/7 http://www.openwall.com/lists/oss-security/2012/12/30/5 http://www.securityfocus.com/bid/57089 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.0EPSS: 0%CPEs: 5EXPL: 0

security/__init__.py in MoinMoin 1.9 through 1.9.4 does not properly handle group names that contain virtual group names such as "All," "Known," or "Trusted," which allows remote authenticated users with virtual group membership to be treated as a member of the group. security/__init__.py en MoinMoin v1.9 hasta v1.9.4 no trata correctamente los nombres de los grupos que contienen nombres de grupos virtuales tales como "All", "Known", o "Trusted", lo que permite ser tratados como miembros del grupo no-virtual a usuarios remotos autenticados que pertenezcan a un grupo virtual. • http://hg.moinmo.in/moin/1.9/rev/7b9f39289e16 http://moinmo.in/SecurityFixes http://secunia.com/advisories/50474 http://secunia.com/advisories/50496 http://secunia.com/advisories/50885 http://www.debian.org/security/2012/dsa-2538 http://www.openwall.com/lists/oss-security/2012/09/04/4 http://www.openwall.com/lists/oss-security/2012/09/05/2 http://www.ubuntu.com/usn/USN-1604-1 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 2.6EPSS: 0%CPEs: 76EXPL: 0

Cross-site scripting (XSS) vulnerability in the reStructuredText (rst) parser in parser/text_rst.py in MoinMoin before 1.9.3, when docutils is installed or when "format rst" is set, allows remote attackers to inject arbitrary web script or HTML via a javascript: URL in the refuri attribute. NOTE: some of these details are obtained from third party information. Una vulnerabilidad de tipo cross-site scripting (XSS) en el analizador reStructuredText (rst) en parser/text_rst.py en MoinMoin anterior a versión 1.9.3, cuando es instalado docutils o cuando se establece "format rst", permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de una URL javascript: en el atributo refuri. NOTA: algunos de estos datos se obtienen de la información de terceros. • http://lists.fedoraproject.org/pipermail/package-announce/2011-March/054544.html http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055116.html http://lists.fedoraproject.org/pipermail/package-announce/2011-March/055124.html http://moinmo.in/SecurityFixes http://secunia.com/advisories/43413 http://secunia.com/advisories/43665 http://secunia.com/advisories/50885 http://www.debian.org/security/2011/dsa-2321 http://www.securityfocus.com/bid/46476 http://www.ubuntu.com/usn • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •