CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6259
https://notcve.org/view.php?id=CVE-2014-6259
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not properly detect recursion during entity expansion, which allows remote attackers to cause a denial of service (memory and CPU consumption) via a crafted XML document containing a large number of nested entity references, aka ZEN-15414, a similar issue to CVE-2003-1564. Zenoss Core hasta 5 Beta 3 no detecta correctamente la recursión durante la expansión de entidades, lo que permite a atacantes remotos causar una denegación de servicio (consumo de memoria y CPU) a través... • http://www.kb.cert.org/vuls/id/449452 • CWE-399: Resource Management Errors •
CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6260
https://notcve.org/view.php?id=CVE-2014-6260
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not require a password for modifying the pager command string, which allows remote attackers to execute arbitrary commands or cause a denial of service (paging outage) by leveraging an unattended workstation, aka ZEN-15412. Zenoss Core hasta 5 Beta 3 no requiere una contraseña para modificar la cadena de comandos del paginador, lo que permite a atacantes remotos ejecutar comandos arbitrarios o causar una denegación de servicio (interrupción de paginación) mediante el aprove... • http://www.kb.cert.org/vuls/id/449452 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 9.8EPSS: 9%CPEs: 20EXPL: 0CVE-2014-6261
https://notcve.org/view.php?id=CVE-2014-6261
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not properly implement the Check For Updates feature, which allows remote attackers to execute arbitrary code by (1) spoofing the callhome server or (2) deploying a crafted web site that is visited during a login session, aka ZEN-12657. Zenoss Core hasta 5 Beta 3 no implementa correctamente la caracteristica comprobar para actualizaciones (Check For Updates), lo que permite a atacantes remotos ejecutar código arbitrario mediante (1) la falsificación del servidor callhome o ... • http://www.kb.cert.org/vuls/id/449452 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.3EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9245
https://notcve.org/view.php?id=CVE-2014-9245
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote attackers to obtain sensitive information by attempting a product-rename action with an invalid new name and then reading a stack trace, as demonstrated by internal URL information, aka ZEN-15382. Zenoss Core hasta 5 Beta 3 permite a atacantes remotos obtener información sensible mediante el intento de una acción de renombrar un producto con un nombre nuevo inválido y posteriormente la lectura de una traza de pila, tal y como fue demostrado por información de URL i... • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9247
https://notcve.org/view.php?id=CVE-2014-9247
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote authenticated users to obtain sensitive (1) user account, (2) e-mail address, and (3) role information by visiting the ZenUsers (aka User Manager) page, aka ZEN-15389. Zenoss Core hasta 5 Beta 3 permite a usuarios remotos autenticados obtener información sensible de (1)cuentas de usuarios, (2) direcciones de email, y (3) role mediante la visita a la página ZenUsers (también conocido como User Manager), también conocido como ZEN-15389. • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9248
https://notcve.org/view.php?id=CVE-2014-9248
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not require complex passwords, which makes it easier for remote attackers to obtain access via a brute-force attack, aka ZEN-15406. Zenoss Core hasta 5 Beta 3 no requiere contraseñas complejas, lo que facilita a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta, también conocido como ZEN-15406. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 16EXPL: 0CVE-2014-9249
https://notcve.org/view.php?id=CVE-2014-9249
15 Dec 2014 — The default configuration of Zenoss Core before 5 allows remote attackers to read or modify database information by connecting to unspecified open ports, aka ZEN-15408. La configuración por defecto de Zenoss Core anterior a 5 permite a atacantes remotos leer o modificar información de la base de datos mediante la conexión a puertos abiertos no especificados, también conocido como ZEN-15408. • http://www.kb.cert.org/vuls/id/449452 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9250
https://notcve.org/view.php?id=CVE-2014-9250
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not include the HTTPOnly flag in a Set-Cookie header for the authentication cookie, which makes it easier for remote attackers to obtain credential information via script access to this cookie, aka ZEN-10418. Zenoss Core hasta 5 Beta 3 no incluye el indicador HTTPOnly en una cabecera Set-Cookie para la cookie de autenticación, lo que facilita a atacantes remotos obtener información de credenciales a través del acceso de secuencias de comandos a esta cookie, también conocido... • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9251
https://notcve.org/view.php?id=CVE-2014-9251
15 Dec 2014 — Zenoss Core through 5 Beta 3 uses a weak algorithm to hash passwords, which makes it easier for context-dependent attackers to obtain cleartext values via a brute-force attack on hash values in the database, aka ZEN-15413. Zenoss Core hasta 5 Beta 3 utiliza un algoritmo débil para crear hashes de contraseñas, lo que facilita a atacantes dependientes de contexto obtener valores en texto plano a través de un ataque de fuerza bruta sobre los valores de hash, también conocido como ZEN-15413. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 5.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9252
https://notcve.org/view.php?id=CVE-2014-9252
15 Dec 2014 — Zenoss Core through 5 Beta 3 stores cleartext passwords in the session database, which might allow local users to obtain sensitive information by reading database entries, aka ZEN-15416. Zenoss Core hasta 5 Beta 3 almacena contraseñas en texto plano en la base de datos de la sesión, lo que podría permitir a usuarios locales obtener información sensible mediante la lectura de las entradas en la base de datos, también conocido como ZEN-15416. • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •