CVSS: 6.8EPSS: 0%CPEs: 59EXPL: 0CVE-2014-0010
https://notcve.org/view.php?id=CVE-2014-0010
Multiple cross-site request forgery (CSRF) vulnerabilities in user/profile/index.php in Moodle through 2.2.11, 2.3.x before 2.3.11, 2.4.x before 2.4.8, 2.5.x before 2.5.4, and 2.6.x before 2.6.1 allow remote attackers to hijack the authentication of administrators for requests that delete (1) categories or (2) fields. Múltiples vulnerabilidades de CSRF en user/profile/index.php en Moodle hasta la versión 2.2.11, 2.3.x anterior a 2.3.11, 2.4.x anterior a la versión 2.4.8, 2.5.x anterior a 2.5.4, y 2.6.x anterior a la versión 2.6.1 permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que eliminen (1) categorías o (2) campos. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42883 http://lists.fedoraproject.org/pipermail/package-announce/2014-January/127510.html http://lists.fedoraproject.org/pipermail/package-announce/2014-January/127533.html http://openwall.com/lists/oss-security/2014/01/20/1 http://osvdb.org/102261 http://www.securitytracker.com/id/1029649 https://moodle.org/mod/forum/discuss.php?d=252416 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 2.6EPSS: 1%CPEs: 16EXPL: 0CVE-2013-2139 – libsrtp: buffer overflow in application of crypto profiles
https://notcve.org/view.php?id=CVE-2013-2139
Buffer overflow in srtp.c in libsrtp in srtp 1.4.5 and earlier allows remote attackers to cause a denial of service (crash) via vectors related to a length inconsistency in the crypto_policy_set_from_profile_for_rtp and srtp_protect functions. Desbordamiento de búfer en srtp.c en libsrtp en srtp 1.4.5 y anteriores permite a atacantes remotos provocar una denegación de servicio (caída) a través de vectores relacionados con una inconsistencia en la longitud de las funciones crypto_policy_set_from_profile_for_rtp y srtp_protect. • http://advisories.mageia.org/MGASA-2014-0465.html http://lists.opensuse.org/opensuse-updates/2013-07/msg00083.html http://lists.opensuse.org/opensuse-updates/2014-09/msg00059.html http://lwn.net/Articles/579633 http://seclists.org/fulldisclosure/2013/Jun/10 http://www.debian.org/security/2014/dsa-2840 http://www.mandriva.com/security/advisories?name=MDVSA-2014:219 http://www.osvdb.org/93852 https://bugzilla.redhat.com/show_bug.cgi?id=970697 https://github.com/cisco/libs • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 4.3EPSS: 0%CPEs: 14EXPL: 0CVE-2011-5268
https://notcve.org/view.php?id=CVE-2011-5268
connection.c in Bip before 0.8.9 does not properly close sockets, which allows remote attackers to cause a denial of service (file descriptor consumption and crash) via multiple failed SSL handshakes, a different vulnerability than CVE-2013-4550. NOTE: this issue was SPLIT from CVE-2013-4550 because it is a different type of issue. El archivo connection.c en Bip anterior a versión 0.8.9, no cierra apropiadamente los sockets, lo que permite a los atacantes remotos causar una denegación de servicio (consumo y bloqueo del descriptor de archivo) por medio de múltiples negociaciones SSL fallidas, una diferente vulnerabilidad al CVE-2013-4550. NOTA: este problema fue Separado del CVE-2013-4550 porque es un problema diferente. • http://lists.fedoraproject.org/pipermail/package-announce/2013-November/121868.html http://lists.fedoraproject.org/pipermail/package-announce/2013-November/122274.html http://lists.fedoraproject.org/pipermail/package-announce/2013-November/122278.html http://www.openwall.com/lists/oss-security/2014/01/02/9 https://projects.duckcorp.org/issues/261 https://projects.duckcorp.org/versions/13 • CWE-310: Cryptographic Issues •
CVSS: 5.1EPSS: 0%CPEs: 14EXPL: 0CVE-2013-4550
https://notcve.org/view.php?id=CVE-2013-4550
Bip before 0.8.9, when running as a daemon, writes SSL handshake errors to an unexpected file descriptor that was previously associated with stderr before stderr has been closed, which allows remote attackers to write to other sockets and have an unspecified impact via a failed SSL handshake, a different vulnerability than CVE-2011-5268. NOTE: some sources originally mapped this CVE to two different types of issues; this CVE has since been SPLIT, producing CVE-2011-5268. Bip anterior a versión 0.8.9, cuando se ejecuta como un demonio, negocia errores de protocolo de enlace SSL en un descriptor de archivo inesperado que se asoció anteriormente con stderr antes de que stderr se haya cerrado, lo que permite a los atacantes remotos escribir en otros sockets y tener un impacto no especificado por medio de una negociación SSL fallida, una vulnerabilidad diferente al CVE-2011-5268. NOTA: algunas fuentes asignaron originalmente este CVE a dos tipos diferentes de problemas; este CVE ha sido desde entonces Separada, produciendo el CVE-2011-5268. • http://lists.fedoraproject.org/pipermail/package-announce/2013-November/121868.html http://lists.fedoraproject.org/pipermail/package-announce/2013-November/122274.html http://lists.fedoraproject.org/pipermail/package-announce/2013-November/122278.html http://www.openwall.com/lists/oss-security/2014/01/02/9 https://projects.duckcorp.org/issues/261 https://projects.duckcorp.org/versions/13 • CWE-310: Cryptographic Issues •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2013-4572
https://notcve.org/view.php?id=CVE-2013-4572
The CentralNotice extension for MediaWiki before 1.19.9, 1.20.x before 1.20.8, and 1.21.x before 1.21.3 sets the Cache-Control header to cache session cookies when a user is autocreated, which allows remote attackers to authenticate as the created user. La extensión CentralNotice para MediaWiki versiones anteriores a 1.19.9, versiones 1.20.x anteriores a 1.20.8 y versiones 1.21.x anteriores a 1.21.3, establece el encabezado Cache-Control para almacenar en caché las cookies de sesión cuando un usuario es autocreado, lo que permite a atacantes remotos autenticarse como usuario creado. • http://lists.fedoraproject.org/pipermail/package-announce/2013-December/122998.html http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123011.html http://lists.wikimedia.org/pipermail/mediawiki-announce/2013-November/000135.html https://bugzilla.wikimedia.org/show_bug.cgi?id=53032 • CWE-384: Session Fixation •