Page 3 of 17 results (0.011 seconds)

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 1

CVE-2012-5892 – Havalite 1.1.7 Cross Site Scripting / Shell Upload

https://notcve.org/view.php?id=CVE-2012-5892

Havalite CMS 1.1.0 and earlier stores sensitive information under the web root with insufficient access control, which allows remote attackers to download the configuration database via a direct request for data/havalite.db3. Havalite CMS v1.1.0 y anteriores almacena la información sensible bajo la raíz web con un control de acceso insuficiente, lo que permite a atacantes remotos descargar la base de datos de configuración a través de una petición directa a data/havalite.db3. • http://osvdb.org/80770 http://packetstormsecurity.org/files/111358/Havalite-CMS-Shell-Upload-SQL-Injection-Disclosure.html https://exchange.xforce.ibmcloud.com/vulnerabilities/74488 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 6.8EPSS: 2%CPEs: 1EXPL: 1

CVE-2012-5893 – Havalite 1.1.7 Cross Site Scripting / Shell Upload

https://notcve.org/view.php?id=CVE-2012-5893

Unrestricted file upload vulnerability in hava_upload.php in Havalite CMS 1.1.0 and earlier allows remote attackers to execute arbitrary code by uploading a file with a .php;.gif extension, then accessing it via a direct request to the file in tmp/files/. Una vulnerabilidad de subida de archivos sin restricciones en hava_upload.php en Havalite CMS v1.1.0 y anteriores permite a atacantes remotos ejecutar código de su elección mediante la carga de un archivo con una extensión php, o gif, para luego acceder al mismo a través de una solicitud dirigida directamente al archivo en tmp/files/. • http://osvdb.org/80768 http://packetstormsecurity.org/files/111358/Havalite-CMS-Shell-Upload-SQL-Injection-Disclosure.html http://secunia.com/advisories/48646 https://exchange.xforce.ibmcloud.com/vulnerabilities/74486 •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 2

CVE-2009-2163 – Sitecore CMS 6.0.0 rev. 090120 - 'default.aspx' Cross-Site Scripting

https://notcve.org/view.php?id=CVE-2009-2163

Cross-site scripting (XSS) vulnerability in login/default.aspx in Sitecore CMS before 6.0.2 Update-1 090507 allows remote attackers to inject arbitrary web script or HTML via the sc_error parameter. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Sitecore CMS versiones anteriores a v6.0.2 Update-1 090507 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante el parámetro "sc_error". • https://www.exploit-db.com/exploits/34930 http://forum.intern0t.net/intern0t-advisories/1082-intern0t-sitecore-net-6-0-0-cross-site-scripting-vulnerability.html http://secunia.com/advisories/35353 http://www.securityfocus.com/archive/1/504093/100/0/threaded http://www.securityfocus.com/archive/1/504132/100/0/threaded • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.3EPSS: 1%CPEs: 14EXPL: 0

CVE-2009-0584 – argyllcms: Multiple insufficient upper-bounds checks on certain sizes in the International Color Consortium Format Library

https://notcve.org/view.php?id=CVE-2009-0584

icc.c in the International Color Consortium (ICC) Format library (aka icclib), as used in Ghostscript 8.64 and earlier and Argyll Color Management System (CMS) 1.0.3 and earlier, allows context-dependent attackers to cause a denial of service (application crash) or possibly execute arbitrary code by using a device file for processing a crafted image file associated with large integer values for certain sizes, related to an ICC profile in a (1) PostScript or (2) PDF file with embedded images. icc.c, perteneciente a la librería de formatos del International Color Consortium (ICC) (alias icclib), tal y como se utiliza en Ghostscript 8.64 y anteriores y Argyll Color Management System (CMS) 1.0.3 y anteriores, permite causar una denegación de servicio (con caída de la aplicación) a atacantes dependientes de contexto, o posiblemente ejecutar código arbitrario por medio de un fichero de dispositivo diseñado para procesar archivos de imagen con modificaciones relacionadas con valores enteros grandes para determinados tamaños, en relación con un perfil ICC en un (1) PostScript o (2) un archivo PDF con imágenes incrustadas. • http://bugs.gentoo.org/show_bug.cgi?id=261087 http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.html http://osvdb.org/52988 http://secunia.com/advisories/34266 http://secunia.com/advisories/34373 http://secunia.com/advisories/34381 http://secunia.com/advisories/34393 http://secunia.com/advisories/34398 http://secunia.com/advisories/34418 http://secunia.com/advisories/34437 http://secunia.com/advisories/34443 http://secunia.com/advisories/34469 http: • CWE-189: Numeric Errors •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 3

CVE-2008-2843 – doITlive CMS 2.50 - SQL Injection / Cross-Site Scripting

https://notcve.org/view.php?id=CVE-2008-2843

Multiple SQL injection vulnerabilities in doITLive CMS 2.50 and earlier allow remote attackers to execute arbitrary SQL commands via the (1) ID parameter in an USUB action to default.asp and the (2) Licence[SpecialLicenseNumber] (aka LicenceId) cookie to edit/default.asp. Múltiples vulnerabilidades de inyección SQL en doITLive CMS 2.50 y versiones anteriores, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro (1) ID en una ación USUB a default.asp y el (2) Licence[SpecialLicenseNumber] (también conocido como LicenceId) cookie to edit/default.asp. • https://www.exploit-db.com/exploits/5849 http://secunia.com/advisories/30705 http://www.bugreport.ir/?/43 http://www.securityfocus.com/bid/29789 https://exchange.xforce.ibmcloud.com/vulnerabilities/43161 https://exchange.xforce.ibmcloud.com/vulnerabilities/43163 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •