CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 0CVE-2013-3380
https://notcve.org/view.php?id=CVE-2013-3380
The administrative web interface in the Access Control Server in Cisco Secure Access Control System (ACS) does not properly restrict the report view page, which allows remote authenticated users to obtain sensitive information via a direct request, aka Bug ID CSCue79279. La interfaz Web de administración en el Access Control Server en Cisco Secure Access Control System (ACS) no restringe correctamente la página de vista de informe, permitiendo a los usuarios autenticados remotos obtener información sensible a través de una petición directa, también conocido como Bug ID CSCue79279. • http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3380 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 0CVE-2012-5424
https://notcve.org/view.php?id=CVE-2012-5424
Cisco Secure Access Control System (ACS) 5.x before 5.2 Patch 11 and 5.3 before 5.3 Patch 7, when a certain configuration involving TACACS+ and LDAP is used, does not properly validate passwords, which allows remote attackers to bypass authentication by sending a valid username and a crafted password string, aka Bug ID CSCuc65634. Cisco Secure Access Control System (ACS) v5.x antes v5.2 Patch 11 y v5.3 antes de 5.3 Patch 7, cuando se usa una determinada configuración que implica TACACS+ y LDAP, no valida correctamente las contraseñas, lo que permite a atacantes remotos evitar la autenticación mediante el envío de un nombre de usuario válido y una contraseña modificada a mano. Se trata de un problema también conocido como Bug ID CSCuc65634. • http://osvdb.org/87251 http://secunia.com/advisories/51194 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121107-acs http://www.securityfocus.com/bid/56433 http://www.securitytracker.com/id?1027733 https://exchange.xforce.ibmcloud.com/vulnerabilities/79860 • CWE-20: Improper Input Validation •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3293
https://notcve.org/view.php?id=CVE-2011-3293
Multiple cross-site request forgery (CSRF) vulnerabilities in the Solution Engine in Cisco Secure Access Control Server (ACS) 5.2 allow remote attackers to hijack the authentication of administrators for requests that insert cross-site scripting (XSS) sequences, aka Bug ID CSCtr78143. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el Solution Engine en Cisco Secure Access Control Server (ACS) v5.2, permite a atacantes remotos secuestrar la autentificación de los administradores en solicitudes que insertan secuencias de comandos en sitios cruzados (XSS), también conocido como Bug ID CSCtr78143. • http://secunia.com/advisories/49101 http://www.cisco.com/web/software/282766937/37718/Acs-5-2-0-26-9-Readme.txt http://www.securityfocus.com/bid/53436 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3317
https://notcve.org/view.php?id=CVE-2011-3317
Multiple cross-site scripting (XSS) vulnerabilities in the Solution Engine in Cisco Secure Access Control Server (ACS) 5.2 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors, aka Bug ID CSCtr78192. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Solution Engine en Cisco Secure Access Control Server (ACS) v5.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados, también conocido como Bug ID CSCtr78192. • http://secunia.com/advisories/49101 http://www.cisco.com/web/software/282766937/37718/Acs-5-2-0-26-9-Readme.txt http://www.securityfocus.com/bid/53436 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 7%CPEs: 2EXPL: 0CVE-2008-2441
https://notcve.org/view.php?id=CVE-2008-2441
Cisco Secure ACS 3.x before 3.3(4) Build 12 patch 7, 4.0.x, 4.1.x before 4.1(4) Build 13 Patch 11, and 4.2.x before 4.2(0) Build 124 Patch 4 does not properly handle an EAP Response packet in which the value of the length field exceeds the actual packet length, which allows remote authenticated users to cause a denial of service (CSRadius and CSAuth service crash) or possibly execute arbitrary code via a crafted RADIUS (1) EAP-Response/Identity, (2) EAP-Response/MD5, or (3) EAP-Response/TLS Message Attribute packet. Cisco Secure ACS versiones 3.x anteriores a 3.3 (4) Build 12, Parche 7, versiones 4.0.x, versiones 4.1.x anteriores a 4.1 (4) Build 13, Parche 11 y versiones 4.2.x anteriores a 4.2 (0) Build 124, Parche 4 no maneja apropiadamente un paquete de EAP Response en el que el valor del campo length excede la longitud actual del paquete, lo que permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del servicio CSRadius y CSAuth) o posiblemente ejecutar código arbitrario por medio de un paquete RADIUS diseñado (1) EAP-Response/Identity, (2) EAP-Response/MD5, o (3) EAP-Response/TLS Message Attribute. • http://secunia.com/advisories/31731 http://securityreason.com/securityalert/4216 http://www.cisco.com/warp/public/707/cisco-sr-20080903-csacs.shtml http://www.securityfocus.com/archive/1/495937/100/0/threaded http://www.securityfocus.com/bid/30997 http://www.securitytracker.com/id?1020814 https://exchange.xforce.ibmcloud.com/vulnerabilities/44871 • CWE-399: Resource Management Errors •