CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9248
https://notcve.org/view.php?id=CVE-2014-9248
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not require complex passwords, which makes it easier for remote attackers to obtain access via a brute-force attack, aka ZEN-15406. Zenoss Core hasta 5 Beta 3 no requiere contraseñas complejas, lo que facilita a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta, también conocido como ZEN-15406. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9250
https://notcve.org/view.php?id=CVE-2014-9250
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not include the HTTPOnly flag in a Set-Cookie header for the authentication cookie, which makes it easier for remote attackers to obtain credential information via script access to this cookie, aka ZEN-10418. Zenoss Core hasta 5 Beta 3 no incluye el indicador HTTPOnly en una cabecera Set-Cookie para la cookie de autenticación, lo que facilita a atacantes remotos obtener información de credenciales a través del acceso de secuencias de comandos a esta cookie, también conocido... • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9251
https://notcve.org/view.php?id=CVE-2014-9251
15 Dec 2014 — Zenoss Core through 5 Beta 3 uses a weak algorithm to hash passwords, which makes it easier for context-dependent attackers to obtain cleartext values via a brute-force attack on hash values in the database, aka ZEN-15413. Zenoss Core hasta 5 Beta 3 utiliza un algoritmo débil para crear hashes de contraseñas, lo que facilita a atacantes dependientes de contexto obtener valores en texto plano a través de un ataque de fuerza bruta sobre los valores de hash, también conocido como ZEN-15413. • http://www.kb.cert.org/vuls/id/449452 • CWE-255: Credentials Management Errors •
CVSS: 5.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9252
https://notcve.org/view.php?id=CVE-2014-9252
15 Dec 2014 — Zenoss Core through 5 Beta 3 stores cleartext passwords in the session database, which might allow local users to obtain sensitive information by reading database entries, aka ZEN-15416. Zenoss Core hasta 5 Beta 3 almacena contraseñas en texto plano en la base de datos de la sesión, lo que podría permitir a usuarios locales obtener información sensible mediante la lectura de las entradas en la base de datos, también conocido como ZEN-15416. • http://www.kb.cert.org/vuls/id/449452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9385
https://notcve.org/view.php?id=CVE-2014-9385
15 Dec 2014 — Cross-site request forgery (CSRF) vulnerability in Zenoss Core through 5 Beta 3 allows remote attackers to hijack the authentication of arbitrary users for requests that trigger arbitrary code execution via a ZenPack upload, aka ZEN-15388. Vulnerabilidad de CSRF en Zenoss Core hasta 5 Beta 3 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que provocan la ejecución de código arbitrario a través de una subida de ZenPack, también conocido como ZEN-15388. • http://www.kb.cert.org/vuls/id/449452 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 8%CPEs: 1EXPL: 5CVE-2014-3738 – Zenoss Monitoring System 4.2.5-2108 (x64) - Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2014-3738
20 May 2014 — Cross-site scripting (XSS) vulnerability in Zenoss 4.2.5 allows remote attackers to inject arbitrary web script or HTML via the title of a device. Vulnerabilidad de XSS en Zenoss 4.2.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del título de un dispositivo. Zenoss Monitoring System version 4.2.5-2108 64-bit suffers from a persistent cross site scripting vulnerability. • https://packetstorm.news/files/id/127623 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2014-3739
https://notcve.org/view.php?id=CVE-2014-3739
20 May 2014 — Open redirect vulnerability in zport/acl_users/cookieAuthHelper/login_form in Zenoss 4.2.5 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the came_from parameter. Vulnerabilidad de redirección abierta en zport/acl_users/cookieAuthHelper/login_form en Zenoss 4.2.5 permite a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de una URL an el parámetro came_from. • http://www.openwall.com/lists/oss-security/2014/05/14/5 • CWE-20: Improper Input Validation •