CVSS: 9.8EPSS: 9%CPEs: 20EXPL: 0CVE-2014-6261
https://notcve.org/view.php?id=CVE-2014-6261
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not properly implement the Check For Updates feature, which allows remote attackers to execute arbitrary code by (1) spoofing the callhome server or (2) deploying a crafted web site that is visited during a login session, aka ZEN-12657. Zenoss Core hasta 5 Beta 3 no implementa correctamente la caracteristica comprobar para actualizaciones (Check For Updates), lo que permite a atacantes remotos ejecutar código arbitrario mediante (1) la falsificación del servidor callhome o ... • http://www.kb.cert.org/vuls/id/449452 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.3EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9245
https://notcve.org/view.php?id=CVE-2014-9245
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote attackers to obtain sensitive information by attempting a product-rename action with an invalid new name and then reading a stack trace, as demonstrated by internal URL information, aka ZEN-15382. Zenoss Core hasta 5 Beta 3 permite a atacantes remotos obtener información sensible mediante el intento de una acción de renombrar un producto con un nombre nuevo inválido y posteriormente la lectura de una traza de pila, tal y como fue demostrado por información de URL i... • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9247
https://notcve.org/view.php?id=CVE-2014-9247
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote authenticated users to obtain sensitive (1) user account, (2) e-mail address, and (3) role information by visiting the ZenUsers (aka User Manager) page, aka ZEN-15389. Zenoss Core hasta 5 Beta 3 permite a usuarios remotos autenticados obtener información sensible de (1)cuentas de usuarios, (2) direcciones de email, y (3) role mediante la visita a la página ZenUsers (también conocido como User Manager), también conocido como ZEN-15389. • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9248
https://notcve.org/view.php?id=CVE-2014-9248
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not require complex passwords, which makes it easier for remote attackers to obtain access via a brute-force attack, aka ZEN-15406. Zenoss Core hasta 5 Beta 3 no requiere contraseñas complejas, lo que facilita a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta, también conocido como ZEN-15406. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 16EXPL: 0CVE-2014-9249
https://notcve.org/view.php?id=CVE-2014-9249
15 Dec 2014 — The default configuration of Zenoss Core before 5 allows remote attackers to read or modify database information by connecting to unspecified open ports, aka ZEN-15408. La configuración por defecto de Zenoss Core anterior a 5 permite a atacantes remotos leer o modificar información de la base de datos mediante la conexión a puertos abiertos no especificados, también conocido como ZEN-15408. • http://www.kb.cert.org/vuls/id/449452 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9250
https://notcve.org/view.php?id=CVE-2014-9250
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not include the HTTPOnly flag in a Set-Cookie header for the authentication cookie, which makes it easier for remote attackers to obtain credential information via script access to this cookie, aka ZEN-10418. Zenoss Core hasta 5 Beta 3 no incluye el indicador HTTPOnly en una cabecera Set-Cookie para la cookie de autenticación, lo que facilita a atacantes remotos obtener información de credenciales a través del acceso de secuencias de comandos a esta cookie, también conocido... • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9251
https://notcve.org/view.php?id=CVE-2014-9251
15 Dec 2014 — Zenoss Core through 5 Beta 3 uses a weak algorithm to hash passwords, which makes it easier for context-dependent attackers to obtain cleartext values via a brute-force attack on hash values in the database, aka ZEN-15413. Zenoss Core hasta 5 Beta 3 utiliza un algoritmo débil para crear hashes de contraseñas, lo que facilita a atacantes dependientes de contexto obtener valores en texto plano a través de un ataque de fuerza bruta sobre los valores de hash, también conocido como ZEN-15413. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 5.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9252
https://notcve.org/view.php?id=CVE-2014-9252
15 Dec 2014 — Zenoss Core through 5 Beta 3 stores cleartext passwords in the session database, which might allow local users to obtain sensitive information by reading database entries, aka ZEN-15416. Zenoss Core hasta 5 Beta 3 almacena contraseñas en texto plano en la base de datos de la sesión, lo que podría permitir a usuarios locales obtener información sensible mediante la lectura de las entradas en la base de datos, también conocido como ZEN-15416. • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9385
https://notcve.org/view.php?id=CVE-2014-9385
15 Dec 2014 — Cross-site request forgery (CSRF) vulnerability in Zenoss Core through 5 Beta 3 allows remote attackers to hijack the authentication of arbitrary users for requests that trigger arbitrary code execution via a ZenPack upload, aka ZEN-15388. Vulnerabilidad de CSRF en Zenoss Core hasta 5 Beta 3 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que provocan la ejecución de código arbitrario a través de una subida de ZenPack, también conocido como ZEN-15388. • http://www.kb.cert.org/vuls/id/449452 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.4EPSS: 0%CPEs: 16EXPL: 0CVE-2014-6255
https://notcve.org/view.php?id=CVE-2014-6255
15 Dec 2014 — Open redirect vulnerability in the login form in Zenoss Core before 4.2.5 SP161 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via the came_from parameter, aka ZEN-11998. Vulnerabilidad de redirección abierta en el formulario de inicio de sesión en Zenoss Core anterior a 4.2.5 SP161 permite a atacantes remotos redirigir usuarios a sitios web arbitrarios y realizar ataques de phishing a través del parámetro came_from, también conocido como ZEN-11998. • http://www.kb.cert.org/vuls/id/449452 •