CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2010-5092
https://notcve.org/view.php?id=CVE-2010-5092
26 Aug 2012 — The Add Member dialog in the Security admin page in SilverStripe 2.4.0 saves user passwords in plaintext, which allows local users to obtain sensitive information by reading a database. El diálogo Add Member en la página de administración de seguridad en SilverStripe v2.4.0 guarda las contraseñas de usuario en texto plano sin cifrar, lo que permite a usuarios locales obtener información sensible a través de la lectura de la base de datos. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 • CWE-255: Credentials Management Errors •
CVSS: 9.1EPSS: 0%CPEs: 12EXPL: 1CVE-2010-5093
https://notcve.org/view.php?id=CVE-2010-5093
26 Aug 2012 — Member_ProfileForm in security/Member.php in SilverStripe 2.3.x before 2.3.7 allows remote attackers to hijack user accounts by saving data using the email address (ID) of another user. Member_ProfileForm en security/Member.php en SilverStripe v2.3.x anterior a v2.3.7 permite a atacantes remotos secuestrar cuentas de usuarios a través del guardado de datos usando la dirección de correo electrónico (ID) de otro usuario. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.7 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2010-5094
https://notcve.org/view.php?id=CVE-2010-5094
26 Aug 2012 — The deleteinstallfiles function in control/ContentController.php in SilverStripe 2.3.x before 2.3.7 does not require ADMIN permissions, which allows remote attackers to delete index.php and "disrupt mod_rewrite-less URL routing." La función deleteinstallfiles en control/ContentController.php en SilverStripe v2.3.x anterior a v2.3.7 no requiere permisos de adminstrador (ADMIN), lo cual permite a atacantes remotos borrar el fichero index.php e interrumpir el enrutado URL enmod_rewrite-less (disrupt mod_rewrit... • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.7 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.1EPSS: 0%CPEs: 11EXPL: 0CVE-2010-5095
https://notcve.org/view.php?id=CVE-2010-5095
26 Aug 2012 — Cross-site scripting (XSS) vulnerability in SilverStripe 2.3.x before 2.3.6 allows remote attackers to inject arbitrary web script or HTML via vectors related to DataObjectSet pagination. Vulnerabilidad de ejecución de código en sitios cruzados (XSS) en SilverStripe v2.3.x anterior a v2.3.6 permite a atacantes remotos inyectar código web o HTML arbitrario a través de vectores relacionados con la paginación DataObjectSet. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 14EXPL: 0CVE-2010-5187
https://notcve.org/view.php?id=CVE-2010-5187
26 Aug 2012 — SilverStripe 2.3.x before 2.3.8 and 2.4.x before 2.4.1, when running on servers with certain configurations, allows remote attackers to obtain sensitive information via a direct request to PHP files in the (1) sapphire, (2) cms, or (3) mysite folders, which reveals the installation path in an error message. SilverStripe v2.3.x anterior a v2.3.8 y v2.4.x anterior a v2.4.1, cuando está en ejecución el servidores con ciertas configuraciones, permite a atacantes remotos obtener información sensible a través de ... • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.8 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 11EXPL: 2CVE-2010-5188
https://notcve.org/view.php?id=CVE-2010-5188
26 Aug 2012 — SilverStripe 2.3.x before 2.3.6 allows remote attackers to obtain sensitive information via the (1) debug_memory parameter to core/control/Director.php or (2) debug_profile parameter to main.php. SilverStripe v2.3.x anterior a v2.3.6 permite a atacantes remotos obtener información sensible a través de (1) el parámetro debug_memory a core/control/Director.php o (2) el parámetro debug_profile a main.php. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2012-0976
https://notcve.org/view.php?id=CVE-2012-0976
02 Feb 2012 — Cross-site scripting (XSS) vulnerability in admin/EditForm in SilverStripe 2.4.6 allows remote authenticated users with Content Authors privileges to inject arbitrary web script or HTML via the Title parameter. NOTE: some of these details are obtained from third party information. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/EditForm in SilverStripe v2.4.6 permite a usuarios remotos autenticados con privilegios de los autores de contenido para inyectar secuencias d... • http://doc.silverstripe.org/framework/en/trunk/changelogs/2.3.13 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 19EXPL: 2CVE-2010-1593
https://notcve.org/view.php?id=CVE-2010-1593
28 Apr 2010 — Multiple cross-site scripting (XSS) vulnerabilities in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (1) the CommenterURL parameter to PostCommentForm, and in the Forum module before 0.2.5 in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (2) the Search parameter to forums/search (aka the search script). Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en SilverStripe anterior... • http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0450.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 0CVE-2008-6753
https://notcve.org/view.php?id=CVE-2008-6753
27 Apr 2009 — SQL injection vulnerability in SilverStripe before 2.2.2 allows remote attackers to execute arbitrary SQL commands via unspecified vectors related to AjaxUniqueTextField. Vulnerabilidad de inyección SQL en SilverStripe anterior a v2.2.2 permite a atacantes remotos ejecutar comandos SQL a su elección a través de vectores no especificados relacionados con AjaxUniqueTextField. • http://silverstripe.org/archive/show/43794 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 15EXPL: 0CVE-2009-1433
https://notcve.org/view.php?id=CVE-2009-1433
24 Apr 2009 — SQL injection vulnerability in File::find (filesystem/File.php) in SilverStripe before 2.3.1 allows remote attackers to execute arbitrary SQL commands via the filename parameter. Vulnerabilidad de inyección SQL en File::find (filesystem/File.php) in SilverStripe antes de v2.3.1 permite a atacantes remotos ejecutar comandos SQL a través del parámetro de nombre de archivo. • http://open.silverstripe.com/ticket/3721 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •