CVE-2013-4338 – WordPress Core < 3.6.1 - Deserialization
https://notcve.org/view.php?id=CVE-2013-4338
wp-includes/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by triggering erroneous PHP unserialize operations. wp-includes/functions.php en WordPress anterior a 3.6.1 no determina apropiadamente si los datos han sido serializados lo que permite a usuarios remotos ejecutar codigo arbitrario lanzando operaciones PHP erróneas de deserialización • http://codex.wordpress.org/Version_3.6.1 http://core.trac.wordpress.org/changeset/25325 http://lists.fedoraproject.org/pipermail/package-announce/2013-September/116828.html http://lists.fedoraproject.org/pipermail/package-announce/2013-September/116832.html http://lists.fedoraproject.org/pipermail/package-announce/2013-September/117118.html http://wordpress.org/news/2013/09/wordpress-3-6-1 http://www.debian.org/security/2013/dsa-2757 • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-502: Deserialization of Untrusted Data •
CVE-2013-3253 – Xhanch – My Twitter <= 2.7.6 - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2013-3253
Cross-site request forgery (CSRF) vulnerability in admin/setting.php in the Xhanch - My Twitter plugin before 2.7.7 for WordPress allows remote attackers to hijack the authentication of administrators for requests that change unspecified settings. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en admin/setting.php en el plugin Xhanch - My Twitter anterior a v2.7.7 para WordPress permite a atacantes remotos secuestrar la autenticación de los administradores para las peticiones que cambian configuraciones sin especificar. • http://forum.xhanch.com/index.php/topic%2C3806.0.html http://plugins.trac.wordpress.org/changeset/750054/xhanch-my-twitter http://secunia.com/advisories/53133 http://www.securityfocus.com/bid/61629 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2013-2201 – WordPress Core < 3.5.2 - Cross-Site Scripting via Multiple Vectors
https://notcve.org/view.php?id=CVE-2013-2201
Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) uploads of media files, (2) editing of media files, (3) installation of plugins, (4) updates to plugins, (5) installation of themes, or (6) updates to themes. Múltiples vulnerabilidades de cross-site scripting (XSS) en WordPress anterior a 3.5.2 permite a atacantes remotos inyectar secuencias de comandos web y HTML arbitrarias a través de vectores que involucran (1) subidas de archivos multimedia, (2) la edición de archivos multimedia, (3) instalación de plugins, (4) actualizaciones de plugins, (5) instalación de temas, o (6) cambios a los temas. • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-2203 – WordPress Core < 3.5.2 - Sensitive Information Disclosure
https://notcve.org/view.php?id=CVE-2013-2203
WordPress before 3.5.2, when the uploads directory forbids write access, allows remote attackers to obtain sensitive information via an invalid upload request, which reveals the absolute path in an XMLHttpRequest error message. WordPress anterior a v3.5.2, cuando el directorio de archivos prohíbe el acceso de escritura, permite a atacantes remotos obtener información sensible a través de una petición de subida valida, lo que revela la ruta absoluta en un mensaje de error XMLHttpRequest. • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-264: Permissions, Privileges, and Access Controls •
CVE-2013-2202 – WordPress Core < 3.5.2 - XXE Injection
https://notcve.org/view.php?id=CVE-2013-2202
WordPress before 3.5.2 allows remote attackers to read arbitrary files via an oEmbed XML provider response containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. WordPress anterior a v3.5.2 permite a atacantes remotos leer ficheros de su elección mediante respuesta del proveedor oEmbed XML que contenga una declaración de entidad externa en conjunción con una referencia de entidad, en relación con un fallo en una XML External Entity (XXE). • http://codex.wordpress.org/Version_3.5.2 http://wordpress.org/news/2013/06/wordpress-3-5-2 http://www.debian.org/security/2013/dsa-2718 https://bugzilla.redhat.com/show_bug.cgi?id=976784 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-611: Improper Restriction of XML External Entity Reference •