CVE-2013-4732
https://notcve.org/view.php?id=CVE-2013-4732
The administrative web server on the Digital Alert Systems DASDEC EAS device through 2.0-2 and the Monroe Electronics R189 One-Net EAS device through 2.0-2 uses predictable session ID values, which makes it easier for remote attackers to hijack sessions by sniffing the network. NOTE: VU#662676 states "Monroe Electronics could not reproduce this finding. ** EN DISPUTA ** El servidor Web de administración del dispositivo Digital Alert Systems DASDEC EAS hasta v2.0-2 y el dispositivo Monroe Electronics R189 One-Net hasta v2.0-2 use un ID de sesión predecible, lo que permite a los atacantes remotos secuestrar la sesión de los usuarios mediante EAS utiliza valores de ID de sesión predecibles, lo que hace que sea más fácil para los atacantes remotos secuestrar sesiones mediante la captura de datos de red ("sniffing"). NOTA: VU#662676 dice que. Monroe Electronics no puede reproducir este hallazgo" • http://www.digitalalertsystems.com/pdf/130604-Monroe-Security-PR.pdf http://www.kb.cert.org/vuls/id/662676 http://www.kb.cert.org/vuls/id/AAMN-98MU7H http://www.kb.cert.org/vuls/id/AAMN-98MUK2 http://www.monroe-electronics.com/MONROE_ELECTRONICS_PDF/130604-Monroe-Security-PR.pdf • CWE-255: Credentials Management Errors •
CVE-2013-4735
https://notcve.org/view.php?id=CVE-2013-4735
The Digital Alert Systems DASDEC EAS device before 2.0-2 and the Monroe Electronics R189 One-Net EAS device before 2.0-2 have a default password for an administrative account, which makes it easier for remote attackers to obtain access via an IP network. El dispositivo Digital Alert Systems DASDEC EAS anterior a v2.0-2 y el dispositivo Monroe Electronics R189 One-Net EAS anterior a v2.0-2 tener una contraseña por defecto para una cuenta administrativa, lo que hace que sea más fácil para un atacante remoto para obtener acceso a través de una red IP. • http://www.digitalalertsystems.com/pdf/130604-Monroe-Security-PR.pdf http://www.kb.cert.org/vuls/id/662676 http://www.kb.cert.org/vuls/id/AAMN-98MU7H http://www.kb.cert.org/vuls/id/AAMN-98MUK2 http://www.monroe-electronics.com/MONROE_ELECTRONICS_PDF/130604-Monroe-Security-PR.pdf • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2010-4405
https://notcve.org/view.php?id=CVE-2010-4405
Cross-site scripting (XSS) vulnerability in the Yannick Gaultier sh404SEF component before 2.1.8.777 for Joomla! allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el componente Yannick Gaultier sh404SEF en versiones anteriores a la 2.1.8.777 de Joomla!. Permite a usuarios remotos inyectar codigo de script web o código HTML de su elección a través de vectores sin especificar. • http://dev.anything-digital.com/Forum/Announcements/9100-Urgent-sh404SEF-security-release-Joomla-1.5 http://secunia.com/advisories/42430 http://twitter.com/jeffchannell/status/8603529560195072 http://www.securityfocus.com/bid/45135 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-4404
https://notcve.org/view.php?id=CVE-2010-4404
SQL injection vulnerability in the Yannick Gaultier sh404SEF component before 2.1.8.777 for Joomla! allows remote attackers to execute arbitrary SQL commands via unspecified vectors. Vulnerabilidad de inyección SQL en el componente de Joomla! Yannick Gaultier sh404SEF en versiones anteriores 2.1.8.777. Permite a usuarios remotos inyectar codigo de script web o código HTML de su elección a través de vectores sin especificar. • http://dev.anything-digital.com/Forum/Announcements/9100-Urgent-sh404SEF-security-release-Joomla-1.5 http://secunia.com/advisories/42430 http://twitter.com/jeffchannell/status/8603529560195072 http://www.securityfocus.com/bid/45135 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2009-4431 – Joomla! Component com_jcalpro 1.5.3.6 - Remote File Inclusion
https://notcve.org/view.php?id=CVE-2009-4431
PHP remote file inclusion vulnerability in cal_popup.php in the Anything Digital Development JCal Pro (aka com_jcalpro or JCP) component 1.5.3.6 for Joomla! allows remote attackers to execute arbitrary PHP code via a URL in the mosConfig_absolute_path parameter. Vulnerabilidad de inclusión remota de archivo en PHP en cal_popup.php en el componente Anything Digital Development JCal Pro (también conocido como com_jcalpro o JCP) v1.5.3.6 para Joomla! permite a atacantes remotos ejecutar código PHP de su elección mediante una URL en el parámetro "mosConfig_absolute_path". • https://www.exploit-db.com/exploits/10587 http://packetstormsecurity.org/0912-exploits/joomlajcalpro-rfi.txt http://www.securityfocus.com/bid/37438 • CWE-94: Improper Control of Generation of Code ('Code Injection') •