NotCVE - vendor:"Progress" product:"Sitefinity" version:" >= 4.0.0 <= 14.4.8142"

Page 2 of 19 results (0.009 seconds)

CVSS: 6.5EPSS: 0%CPEs: 16EXPL: 0

CVE-2019-7215

https://notcve.org/view.php?id=CVE-2019-7215

06 Jun 2019 — Progress Sitefinity 10.1.6536 does not invalidate session cookies upon logouts. It instead tries to overwrite the cookie in the browser, but it remains valid on the server side. This means the cookie can be reused to maintain access to the account, even if the account credentials and permissions are changed. Progress Sitefinity 10.1.6536 no invalida las cookies de sesión al cerrar la sesión. En su lugar, intenta sobrescribir la cookie en el navegador, pero sigue siendo válida en el lado del servidor. • https://knowledgebase.progress.com/#sort=relevancy&f:%40objecttypelabel=%5BProduct%20Alert%5D • CWE-613: Insufficient Session Expiration •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

CVE-2018-17055

https://notcve.org/view.php?id=CVE-2018-17055

28 Sep 2018 — An arbitrary file upload vulnerability in Progress Sitefinity CMS versions 4.0 through 11.0 related to image uploads. Una vulnerabilidad de subida de archivos arbitrarios en Progress Sitefinity CMS, desde la versión 4.0 hasta la 11.0, relacionada con la subida de imágenes. • https://insinuator.net/2018/10/vulnerabilities-in-sitefinity-wcms-a-success-story-of-a-responsible-disclosure-process • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2

CVE-2017-18175

https://notcve.org/view.php?id=CVE-2017-18175

12 Feb 2018 — Progress Sitefinity 9.1 has XSS via the Content Management Template Configuration (aka Templateconfiguration), as demonstrated by the src attribute of an IMG element. This is fixed in 10.1. Progress Sitefinity 9.1 tiene XSS mediante Content Management Template Configuration (también llamado Templateconfiguration), tal y como demuestra el atributo src de un elemento IMG. Esto se ha solucionado en la versión 10.1. • https://packetstormsecurity.com/files/143894/Progress-Sitefinity-9.1-XSS-Session-Management-Open-Redirect.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2

CVE-2017-18176

https://notcve.org/view.php?id=CVE-2017-18176

12 Feb 2018 — Progress Sitefinity 9.1 has XSS via file upload, because JavaScript code in an HTML file has the same origin as the application's own code. This is fixed in 10.1. Progress Sitefinity 9.1 tiene XSS mediante la subida de archivos, debido a que el código JavaScript en un archivo HTML tiene el mismo origen que el propio código de la aplicación. Esto se ha solucionado en la versión 10.1. • https://packetstormsecurity.com/files/143894/Progress-Sitefinity-9.1-XSS-Session-Management-Open-Redirect.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2

CVE-2017-18177

https://notcve.org/view.php?id=CVE-2017-18177

12 Feb 2018 — Progress Sitefinity 9.1 has XSS via the Last name, First name, and About fields on the New User Creation Page. This is fixed in 10.1. Progress Sitefinity 9.1 tiene XSS mediante los campos Last name, First name y About en la página de creación de nuevo usuario. Esto se ha solucionado en la versión 10.1. • https://packetstormsecurity.com/files/143894/Progress-Sitefinity-9.1-XSS-Session-Management-Open-Redirect.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2

CVE-2017-18179

https://notcve.org/view.php?id=CVE-2017-18179

12 Feb 2018 — Progress Sitefinity 9.1 uses wrap_access_token as a non-expiring authentication token that remains valid after a password change or a session termination. Also, it is transmitted as a GET parameter. This is fixed in 10.1. Progress Sitefinity 9.1 emplea wrap_access_token como token de autenticación sin caducidad que sigue siendo válido tras un cambio de contraseña o una finalización de sesión. Además, se transmite como parámetro GET. • https://packetstormsecurity.com/files/143894/Progress-Sitefinity-9.1-XSS-Session-Management-Open-Redirect.html • CWE-287: Improper Authentication •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2

CVE-2017-18178

https://notcve.org/view.php?id=CVE-2017-18178

12 Feb 2018 — Authenticate/SWT in Progress Sitefinity 9.1 has an open redirect issue in which an authentication token is sent to the redirection target, if the target is specified using a certain %40 syntax. This is fixed in 10.1. Authenticate/SWT en Progress Sitefinity 9.1 tiene un problema de redirección abierta en el que un token de autenticación se envía al destinatario de la redirección, siempre y cuando el objetivo se especifique empleando una sintaxis %40 en concreto. Esto se ha solucionado en la versión 10.1. • https://packetstormsecurity.com/files/143894/Progress-Sitefinity-9.1-XSS-Session-Management-Open-Redirect.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0

CVE-2017-15883

https://notcve.org/view.php?id=CVE-2017-15883

08 Jan 2018 — Sitefinity 5.1, 5.2, 5.3, 5.4, 6.x, 7.x, 8.x, 9.x, and 10.x allow remote attackers to bypass authentication and consequently cause a denial of service on load balanced sites or gain privileges via vectors related to weak cryptography. Sitefinity 5.1, 5.2, 5.3, 5.4, 6.x, 7.x, 8.x, 9.x y 10.x permite que los atacantes remotos omitan la autenticación y que provoquen una denegación de servicio (DoS) en consecuencia en las páginas con carga balanceada o obtengan privilegios mediante vectores relacionados con una... • https://knowledgebase.progress.com/articles/Article/Sitefinity-Security-Advisory-for-cryptographic-vulnerability-CVE-2017-15883 • CWE-287: Improper Authentication •

CVSS: 9.8EPSS: 88%CPEs: 2EXPL: 8

CVE-2017-9248 – Progress Telerik UI for ASP.NET AJAX and Sitefinity Cryptographic Weakness Vulnerability

https://notcve.org/view.php?id=CVE-2017-9248

03 Jul 2017 — Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412.0 does not properly protect Telerik.Web.UI.DialogParametersEncryptionKey or the MachineKey, which makes it easier for remote attackers to defeat cryptographic protection mechanisms, leading to a MachineKey leak, arbitrary file uploads or downloads, XSS, or ASP.NET ViewState compromise. La biblioteca Telerik.Web.UI.dll en la Interfaz de Usuario de Progress Telerik para ASP.NET AJAX anterior a la vers... • https://www.exploit-db.com/exploits/43873 • CWE-522: Insufficiently Protected Credentials •

1 2