CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-9385
https://notcve.org/view.php?id=CVE-2014-9385
15 Dec 2014 — Cross-site request forgery (CSRF) vulnerability in Zenoss Core through 5 Beta 3 allows remote attackers to hijack the authentication of arbitrary users for requests that trigger arbitrary code execution via a ZenPack upload, aka ZEN-15388. Vulnerabilidad de CSRF en Zenoss Core hasta 5 Beta 3 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que provocan la ejecución de código arbitrario a través de una subida de ZenPack, también conocido como ZEN-15388. • http://www.kb.cert.org/vuls/id/449452 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 16EXPL: 0CVE-2014-9386
https://notcve.org/view.php?id=CVE-2014-9386
15 Dec 2014 — Zenoss Core before 4.2.5 SP161 sets an infinite lifetime for the session ID cookie, which makes it easier for remote attackers to hijack sessions by leveraging an unattended workstation, aka ZEN-12691. Zenoss Core anterior a 4.2.5 SP161 configura una vida infinita para la cookie de identificación de la sesión, lo que facilita a atacantes remotos secuestrar sesiones mediante el aprovechamiento de una estación de trabajo desatendida, también conocido como ZEN-12691. • http://www.kb.cert.org/vuls/id/449452 •
CVSS: 6.1EPSS: 8%CPEs: 1EXPL: 5CVE-2014-3738 – Zenoss Monitoring System 4.2.5-2108 (x64) - Persistent Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2014-3738
20 May 2014 — Cross-site scripting (XSS) vulnerability in Zenoss 4.2.5 allows remote attackers to inject arbitrary web script or HTML via the title of a device. Vulnerabilidad de XSS en Zenoss 4.2.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del título de un dispositivo. Zenoss Monitoring System version 4.2.5-2108 64-bit suffers from a persistent cross site scripting vulnerability. • https://packetstorm.news/files/id/127623 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2014-3739
https://notcve.org/view.php?id=CVE-2014-3739
20 May 2014 — Open redirect vulnerability in zport/acl_users/cookieAuthHelper/login_form in Zenoss 4.2.5 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the came_from parameter. Vulnerabilidad de redirección abierta en zport/acl_users/cookieAuthHelper/login_form en Zenoss 4.2.5 permite a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de una URL an el parámetro came_from. • http://www.openwall.com/lists/oss-security/2014/05/14/5 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 1%CPEs: 5EXPL: 2CVE-2010-0712 – Zenoss 2.3.3 - Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2010-0712
26 Feb 2010 — Multiple SQL injection vulnerabilities in zport/dmd/Events/getJSONEventsInfo in Zenoss 2.3.3, and other versions before 2.5, allow remote authenticated users to execute arbitrary SQL commands via the (1) severity, (2) state, (3) filter, (4) offset, and (5) count parameters. Múltiples vulnerabilidades de inyección SQL en zport/dmd/Events/getJSONEventsInfo en Zenoss v2.3.3 y otras versiones anteriores a v2.5, permite a atacantes remotos ejecutar comandos SQL de su elección a través de los parámetros (1) sever... • https://www.exploit-db.com/exploits/33511 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 3%CPEs: 5EXPL: 2CVE-2010-0713 – Zenoss 2.3.3 - Multiple Cross-Site Request Forgery Vulnerabilities
https://notcve.org/view.php?id=CVE-2010-0713
26 Feb 2010 — Multiple cross-site request forgery (CSRF) vulnerabilities in Zenoss 2.3.3, and other versions before 2.5, allow remote attackers to hijack the authentication of an administrator for (1) requests that reset user passwords via zport/dmd/ZenUsers/admin, and (2) requests that change user commands, which allows for remote execution of system commands via zport/dmd/userCommands/. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Zenoss v2.3.3, y otras versiones anteriores a v2.... • https://www.exploit-db.com/exploits/33536 • CWE-352: Cross-Site Request Forgery (CSRF) •