CVE-2010-0713 – Zenoss 2.3.3 - Multiple Cross-Site Request Forgery Vulnerabilities

https://notcve.org/view.php?id=CVE-2010-0713

Multiple cross-site request forgery (CSRF) vulnerabilities in Zenoss 2.3.3, and other versions before 2.5, allow remote attackers to hijack the authentication of an administrator for (1) requests that reset user passwords via zport/dmd/ZenUsers/admin, and (2) requests that change user commands, which allows for remote execution of system commands via zport/dmd/userCommands/. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Zenoss v2.3.3, y otras versiones anteriores a v2.5, permite a atacantes remotos secuestrar la autenticación de las peticiones de administradores para (1) peticiones que reinicializan la contraseña de los usuarios a través de zport/dmd/ZenUsers/admin, y (2) peticiones que modifican comandos de usuario, lo que permite ejecuciones de comandos del sistema mediante zport/dmd/userCommands/ • https://www.exploit-db.com/exploits/33536 http://osvdb.org/61805 http://secunia.com/advisories/38195 http://www.ngenuity.org/wordpress/2010/01/14/ngenuity-2010-002-zenoss-multiple-admin-csrf http://www.securityfocus.com/archive/1/508982/100/0/threaded http://www.securityfocus.com/bid/37843 http://www.zenoss.com/news/SQL-Injection-and-Cross-Site-Forgery-in-Zenoss-Core-Corrected.html • CWE-352: Cross-Site Request Forgery (CSRF) •