CVSS: 4.3EPSS: 2%CPEs: 4EXPL: 1CVE-2010-4822
https://notcve.org/view.php?id=CVE-2010-4822
core/model/MySQLDatabase.php in SilverStripe 2.4.x before 2.4.4, when the site is running in "live mode," allows remote attackers to obtain the SQL queries for a page via the showqueries and ajax parameters. core/model/MySQLDatabase.php en SilverStripe 2.4.x anterior a v2.4.4, cuando el sitio se ejecuta en "live mode", permite a atacantes remotos obtener los comandos SQL de una página a través de los parámetros showqueries y ajax. • http://doc.silverstripe.org/framework/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/114783 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www.osvdb.org/69885 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 18EXPL: 3CVE-2011-4959
https://notcve.org/view.php?id=CVE-2011-4959
SQL injection vulnerability in the addslashes method in SilverStripe 2.3.x before 2.3.12 and 2.4.x before 2.4.6, when connected to a MySQL database using far east character encodings, allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el método addslashes en SilverStripe v2.3.x antes de v2.3.12 y v2.4.x antes de v2.4.6, cuando se conecta a una base de datos MySQL usando una codificación de caracteres del lejano oriente, permite a atacantes remotos ejecutar comandos SQL a través de vectores no especificados. • http://doc.silverstripe.org/framework/en/trunk/changelogs/2.3.12 http://doc.silverstripe.org/framework/en/trunk/changelogs/2.4.6 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 https://github.com/silverstripe/sapphire/commit/73cca09 https://github.com/silverstripe/sapphire/commit/ca78784 https://github.com/silverstripe/silverstripe-cms/commit/b5ea2f6 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.8EPSS: 0%CPEs: 19EXPL: 0CVE-2010-5080
https://notcve.org/view.php?id=CVE-2010-5080
The Security/changepassword URL action in SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 passes a token as a GET parameter while changing a password through email, which allows remote attackers to obtain sensitive data and hijack the session via the HTTP referer logs on a server, aka "HTTP referer leakage." La acción en la URL Security/changepassword en SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 pasa una muestra (token) como un parámetro GET mientras se está cambiando una contraseña a través de un correo electrónico, que permite a atacantes remotos obtener información sensible y secuestrar la sesión a través de los registros referer HTTP en un servidor, también conocido como "HTTP referer leakage". • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/114758 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www. • CWE-255: Credentials Management Errors CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 20EXPL: 2CVE-2010-5087
https://notcve.org/view.php?id=CVE-2010-5087
SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 allows remote attackers to bypass the cross-site request forgery (CSRF) protection mechanism and hijack the authentication of administrators via vectors related to "form action requests" using a controller. SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 permite a atacantes remotos saltarse el mecanismo de protección contra solicitudes falsificadas en sitios cruzados (CSRF) y secuestrar la autenticación de los administradores a través de vectores relacionados con el formulario de solicitud de acción (form action request) usando un controlador. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/115182 http://open.silverstripe.org/changeset/115185 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/ • CWE-264: Permissions, Privileges, and Access Controls •