CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 1CVE-2008-6984
https://notcve.org/view.php?id=CVE-2008-6984
Plesk 8.6.0, when short mail login names (SHORTNAMES) are enabled, allows remote attackers to bypass authentication and send spam e-mail via a message with (1) a base64-encoded username that begins with a valid shortname, or (2) a username that matches a valid password, as demonstrated using (a) SMTP and qmail, and (b) Courier IMAP and POP3. Plesk v8.6.0, cunado la ordenación de nombres de login está activada, permite a atacantes remotos saltarse la autenticación y enviar correo electrónico spam a través de un mensaje con (1) un nombre de usuario codificado base64 que comienze con un shortname válido, o (2) un nombre de usuario que coincida con una contraseña válida, como se demostró utilizando (a) SMTP y qmail, y (b) Courier IMAP y POP3. • http://www.osvdb.org/51652 http://www.securityfocus.com/archive/1/495881 http://www.securityfocus.com/bid/30956 http://www.securitytracker.com/id?1020801 https://exchange.xforce.ibmcloud.com/vulnerabilities/44856 • CWE-287: Improper Authentication •
CVSS: 6.8EPSS: 3%CPEs: 2EXPL: 2CVE-2008-6478 – Parallels Virtuozzo Containers 3.0.0-25.4/4.0.0-365.6 VZPP Interface File Manger - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2008-6478
Cross-site request forgery (CSRF) vulnerability in the file manager in the VZPP web interface for Parallels Virtuozzo 365.6.swsoft (build 4.0.0-365.6.swsoft) and 25.4.swsoft (build 3.0.0-25.4.swsoft) allows remote attackers to create and delete arbitrary files as the administrator via a link or IMG tag to (1) create-file and (2) list-control in vz/cp/vzdir/infrman/envs/files/; or modify system configuration via the path parameter to vz/cp/vzdir/infrman/envs/files/index. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el gestor de ficheros en el interfaz web VZPP en Parallels Virtuozzo 365.6.swsoft (disponible en v4.0.0 - v365.6.swsoft) y v25.4.swsoft (disponible en v3.0.0 - v25.4.swsoft) permite a atacantes remotos crear y borrar ficheros de su elección como usuario administrador mediante un enlace o etiqueta IMG en (1) "create-file" y (2) "list-control" en vz/cp/vzdir/infrman/envs/files/; o modificar configuración del sistema mediante el parémetro "path" en vz/cp/vzdir/infrman/envs/files/index. • https://www.exploit-db.com/exploits/31603 http://osvdb.org/44395 http://px.dynalias.org/files/virtuozzo_overwrite.html.txt http://secunia.com/advisories/29675 http://www.securityfocus.com/archive/1/490409/100/0/threaded http://www.securityfocus.com/bid/28589 https://exchange.xforce.ibmcloud.com/vulnerabilities/41640 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 3%CPEs: 1EXPL: 2CVE-2008-6479 – Parallels Virtuozzo Containers 3.0.0-25.4.swsoft VZPP Interface Change Pass - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2008-6479
Cross-site request forgery (CSRF) vulnerability in the "change password" feature in the VZPP web interface for Parallels Virtuozzo 25.4.swsoft (build 3.0.0-25.4.swsoft) allows remote attackers to modify the password via a link or IMG tag to vz/cp/pwd. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en la funcionalidad "cambiar contraseña" en el interfaz web VZPP para Parallels Virtuozzo v25.4.swsoft (disponible en v3.0.0 - v25.4.swsoft) permite a atacantes remotos modificar la contraseña mediante un enlace o etiqueta IMG a vz/cp/pwd. • https://www.exploit-db.com/exploits/31604 http://osvdb.org/44394 http://px.dynalias.org/files/virtuozzo_pwd.html.txt http://secunia.com/advisories/29675 http://www.securityfocus.com/archive/1/490409/100/0/threaded http://www.securityfocus.com/bid/28593 https://exchange.xforce.ibmcloud.com/vulnerabilities/41638 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 2CVE-2008-6465
https://notcve.org/view.php?id=CVE-2008-6465
Multiple cross-site scripting (XSS) vulnerabilities in login.php in webshell4 in Parallels H-Sphere 3.0.0 P9 and 3.1 P1 allow remote attackers to inject arbitrary web script or HTML via the (1) err, (2) errorcode, and (3) login parameters. Múltiples vulnerabilidades ejecución de secuencias de comandos en sitios cruzados (XSS) en login.php en webshell4 en Parallels H-Sphere 3.0.0 P9 y el 3.1 P1 permiten a atacantes remotos inyectar HTML o scripts web arbitrarios a través de los parámetros (1) err, (2) errorcode, y (3) login. • http://osvdb.org/48232 http://secunia.com/advisories/31830 http://www.securityfocus.com/bid/31256 http://www.xssing.com/index.php?x=3&y=65 https://exchange.xforce.ibmcloud.com/vulnerabilities/45252 https://exchange.xforce.ibmcloud.com/vulnerabilities/45254 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 6%CPEs: 2EXPL: 2CVE-2007-4009 – Confixx Pro 3.3.1 - 'saveserver.php' Remote File Inclusion
https://notcve.org/view.php?id=CVE-2007-4009
PHP remote file inclusion vulnerability in admin/business_inc/saveserver.php in SWSoft Confixx Pro 2.0.12 through 3.3.1 allows remote attackers to execute arbitrary PHP code via a URL in the thisdir parameter. Una vulnerabilidad de inclusión remota de archivos PHP en el archivo admin/business_inc/saveserver.php en SWSoft Confixx Pro versiones 2.0.12 hasta 3.3.1, permite a atacantes remotos ejecutar código PHP arbitrario por medio de una URL en el parámetro thisdir. • https://www.exploit-db.com/exploits/4219 ftp://download1.swsoft.com/Confixx/security_hotfix/1/release_notes.txt http://secunia.com/advisories/26300 http://www.securityfocus.com/bid/25036 http://www.vupen.com/english/advisories/2007/2743 http://xpkzxc.com/exploits/confixx.txt https://exchange.xforce.ibmcloud.com/vulnerabilities/35586 • CWE-94: Improper Control of Generation of Code ('Code Injection') •