CVE-2013-4338 – WordPress Core < 3.6.1 - Deserialization
https://notcve.org/view.php?id=CVE-2013-4338
wp-includes/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by triggering erroneous PHP unserialize operations. wp-includes/functions.php en WordPress anterior a 3.6.1 no determina apropiadamente si los datos han sido serializados lo que permite a usuarios remotos ejecutar codigo arbitrario lanzando operaciones PHP erróneas de deserialización • http://codex.wordpress.org/Version_3.6.1 http://core.trac.wordpress.org/changeset/25325 http://lists.fedoraproject.org/pipermail/package-announce/2013-September/116828.html http://lists.fedoraproject.org/pipermail/package-announce/2013-September/116832.html http://lists.fedoraproject.org/pipermail/package-announce/2013-September/117118.html http://wordpress.org/news/2013/09/wordpress-3-6-1 http://www.debian.org/security/2013/dsa-2757 • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-502: Deserialization of Untrusted Data •
CVE-2013-2201 – WordPress Core < 3.5.2 - Cross-Site Scripting via Multiple Vectors
https://notcve.org/view.php?id=CVE-2013-2201
Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) uploads of media files, (2) editing of media files, (3) installation of plugins, (4) updates to plugins, (5) installation of themes, or (6) updates to themes. Múltiples vulnerabilidades de cross-site scripting (XSS) en WordPress anterior a 3.5.2 permite a atacantes remotos inyectar secuencias de comandos web y HTML arbitrarias a través de vectores que involucran (1) subidas de archivos multimedia, (2) la edición de archivos multimedia, (3) instalación de plugins, (4) actualizaciones de plugins, (5) instalación de temas, o (6) cambios a los temas. • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-2203 – WordPress Core < 3.5.2 - Sensitive Information Disclosure
https://notcve.org/view.php?id=CVE-2013-2203
WordPress before 3.5.2, when the uploads directory forbids write access, allows remote attackers to obtain sensitive information via an invalid upload request, which reveals the absolute path in an XMLHttpRequest error message. WordPress anterior a v3.5.2, cuando el directorio de archivos prohíbe el acceso de escritura, permite a atacantes remotos obtener información sensible a través de una petición de subida valida, lo que revela la ruta absoluta en un mensaje de error XMLHttpRequest. • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-264: Permissions, Privileges, and Access Controls •
CVE-2013-2202 – WordPress Core < 3.5.2 - XXE Injection
https://notcve.org/view.php?id=CVE-2013-2202
WordPress before 3.5.2 allows remote attackers to read arbitrary files via an oEmbed XML provider response containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. WordPress anterior a v3.5.2 permite a atacantes remotos leer ficheros de su elección mediante respuesta del proveedor oEmbed XML que contenga una declaración de entidad externa en conjunción con una referencia de entidad, en relación con un fallo en una XML External Entity (XXE). • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2013-2200 – WordPress Core < 3.5.2 - Missing Authorization Checks
https://notcve.org/view.php?id=CVE-2013-2200
WordPress before 3.5.2 does not properly check the capabilities of roles, which allows remote authenticated users to bypass intended restrictions on publishing and authorship reassignment via unspecified vectors. WordPress anteriores a v3.5.2 no gestionan de forma adecuada las capacidades de los roles, lo que permite a usuarios autenticados a evitar las restricciones de acceso impuestas en la publicación y la reasignación de los autores de la publicación a través de vectores no especificados. • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-264: Permissions, Privileges, and Access Controls CWE-862: Missing Authorization •