CVE-2019-1020007
https://notcve.org/view.php?id=CVE-2019-1020007
Dependency-Track before 3.5.1 allows XSS. Dependency-Track anterior a versión 3.5.1, permite un ataque de tipo XSS. • https://github.com/DependencyTrack/dependency-track/security/advisories/GHSA-jp9v-w6vw-9m5v • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-16384
https://notcve.org/view.php?id=CVE-2018-16384
A SQL injection bypass (aka PL1 bypass) exists in OWASP ModSecurity Core Rule Set (owasp-modsecurity-crs) through v3.1.0-rc3 via {`a`b} where a is a special function name (such as "if") and b is the SQL statement to be executed. Existe una omisión de inyección SQL (también conocida como PL1 bypass) en OWASP ModSecurity Core Rule Set (owasp-modsecurity-crs) hasta la versión v3.1.0-rc3 mediante {`a`b}, donde "a" es un nombre de función especial (como "if") y "b" es la instrucción SQL que se debe ejecutar. • https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/1167 https://lists.debian.org/debian-lts-announce/2023/01/msg00033.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2018-12036
https://notcve.org/view.php?id=CVE-2018-12036
OWASP Dependency-Check before 3.2.0 allows attackers to write to arbitrary files via a crafted archive that holds directory traversal filenames. OWASP Dependency-Check en versiones anteriores a la 3.2.0 permite que los atacantes escriban en archivos arbitrarios mediante un archivo manipulado que tiene nombres de archivo de salto de directorio. • https://github.com/jeremylong/DependencyCheck/blob/master/RELEASE_NOTES.md#version-320-2018-05-21 https://github.com/snyk/zip-slip-vulnerability • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-123: Write-what-where Condition •
CVE-2013-5960
https://notcve.org/view.php?id=CVE-2013-5960
The authenticated-encryption feature in the symmetric-encryption implementation in the OWASP Enterprise Security API (ESAPI) for Java 2.x before 2.1.0.1 does not properly resist tampering with serialized ciphertext, which makes it easier for remote attackers to bypass intended cryptographic protection mechanisms via an attack against the intended cipher mode in a non-default configuration, a different vulnerability than CVE-2013-5679. La característica de cifrado autenticado en la implementación de cifrado simétrico en la API OWASP Enterprise Security (ESAPI) para Java en versiones 2.x anteriores a la versión 2.1.0.1 no resiste adecuadamente la manipulación del texto cifrado serializado, lo que facilita a los atacantes remotos la posibilidad de eludir los mecanismos de protección criptográfica previstos mediante un ataque contra el modo de cifrado establecido en una configuración que no es por defecto. Esta es una vulnerabilidad diferente de CVE-2013-5679. • http://code.google.com/p/owasp-esapi-java/issues/detail?id=306 http://lists.owasp.org/pipermail/esapi-dev/2013-August/002285.html http://owasp-esapi-java.googlecode.com/svn/trunk/documentation/ESAPI-security-bulletin1.pdf http://www.securityfocus.com/bid/62415 https://github.com/ESAPI/esapi-java-legacy/blob/master/documentation/esapi4java-core-2.1.0.1-release-notes.txt https://github.com/ESAPI/esapi-java-legacy/issues/359 https://github.com/esapi/esapi-java-legacy/issues/306 • CWE-310: Cryptographic Issues •
CVE-2013-5679
https://notcve.org/view.php?id=CVE-2013-5679
The authenticated-encryption feature in the symmetric-encryption implementation in the OWASP Enterprise Security API (ESAPI) for Java 2.x before 2.1.0 does not properly resist tampering with serialized ciphertext, which makes it easier for remote attackers to bypass intended cryptographic protection mechanisms via an attack against authenticity in the default configuration, involving a null MAC and a zero MAC length. La función de cifrado-autenticado en el cifrado-simétrico implementado en OWASP Enterprise Security API (ESAPI) para Java 2.x anterior a la versión 2.1.0 no resiste adecuadamente a la manipulación con texto cifrado serializado, lo que hace más fácil a atacantes remotos evadir los mecanismos de protección criptográficos intencionados a través de un ataque contra la autenticidad en la configuración por defecto, involucrando una MAC nula y una MAC con longitud cero. • http://code.google.com/p/owasp-esapi-java/issues/detail?id=306 http://lists.owasp.org/pipermail/esapi-dev/2013-August/002285.html http://owasp-esapi-java.googlecode.com/svn/trunk/documentation/ESAPI-security-bulletin1.pdf http://www.securityfocus.com/bid/62415 • CWE-310: Cryptographic Issues •