CVSS: 6.8EPSS: 0%CPEs: 17EXPL: 0CVE-2010-5088
https://notcve.org/view.php?id=CVE-2010-5088
Multiple cross-site request forgery (CSRF) vulnerabilities in SilverStripe 2.3.x before 2.3.9 and 2.4.x before 2.4.3 allow remote attackers to hijack the authentication of administrators via destructive controller actions, a different vulnerability than CVE-2010-5087. Múltiples vulnerabilidades de solicitudes falsificadas en sitios cruzados (CSRF) en SilverStripe v2.3.x anterior a v2.3.9 y v2.4.x anterior a v2.4.3 permite a atacantes remotos secuestrar la autenticación de los administradores a través de acciones destructivas del controlador, una vulnerabilidad diferente de CVE-2010-5087. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.9 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.3 http://holisticinfosec.org/content/view/157/45 http://open.silverstripe.org/changeset/113275 http://open.silverstripe.org/changeset/113282 http://secunia.com/advisories/41717 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012&# • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 1.9EPSS: 0%CPEs: 1EXPL: 0CVE-2010-5092
https://notcve.org/view.php?id=CVE-2010-5092
The Add Member dialog in the Security admin page in SilverStripe 2.4.0 saves user passwords in plaintext, which allows local users to obtain sensitive information by reading a database. El diálogo Add Member en la página de administración de seguridad en SilverStripe v2.4.0 guarda las contraseñas de usuario en texto plano sin cifrar, lo que permite a usuarios locales obtener información sensible a través de la lectura de la base de datos. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 http://open.silverstripe.org/changeset/107532 http://open.silverstripe.org/ticket/5772 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-255: Credentials Management Errors •
CVSS: 5.0EPSS: 1%CPEs: 11EXPL: 2CVE-2010-5188
https://notcve.org/view.php?id=CVE-2010-5188
SilverStripe 2.3.x before 2.3.6 allows remote attackers to obtain sensitive information via the (1) debug_memory parameter to core/control/Director.php or (2) debug_profile parameter to main.php. SilverStripe v2.3.x anterior a v2.3.6 permite a atacantes remotos obtener información sensible a través de (1) el parámetro debug_memory a core/control/Director.php o (2) el parámetro debug_profile a main.php. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.6 http://groups.google.com/group/silverstripe-announce/browse_thread/thread/c75fbd7926ed2725?tvc=2&fwc=1 http://open.silverstripe.org/changeset/98229 http://open.silverstripe.org/changeset/98230 http://secunia.com/advisories/38697 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www.osvdb.org/62541 http://www.securityfocus.com/bid/38394 https://exchange.xforce.ibmcloud.com/vulnerabilities/56546 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 19EXPL: 0CVE-2010-5080
https://notcve.org/view.php?id=CVE-2010-5080
The Security/changepassword URL action in SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 passes a token as a GET parameter while changing a password through email, which allows remote attackers to obtain sensitive data and hijack the session via the HTTP referer logs on a server, aka "HTTP referer leakage." La acción en la URL Security/changepassword en SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 pasa una muestra (token) como un parámetro GET mientras se está cambiando una contraseña a través de un correo electrónico, que permite a atacantes remotos obtener información sensible y secuestrar la sesión a través de los registros referer HTTP en un servidor, también conocido como "HTTP referer leakage". • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/114758 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 http://www. • CWE-255: Credentials Management Errors CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.0EPSS: 0%CPEs: 20EXPL: 2CVE-2010-5087
https://notcve.org/view.php?id=CVE-2010-5087
SilverStripe 2.3.x before 2.3.10 and 2.4.x before 2.4.4 allows remote attackers to bypass the cross-site request forgery (CSRF) protection mechanism and hijack the authentication of administrators via vectors related to "form action requests" using a controller. SilverStripe v2.3.x anterior a v2.3.10 y v2.4.x anterior a v2.4.4 permite a atacantes remotos saltarse el mecanismo de protección contra solicitudes falsificadas en sitios cruzados (CSRF) y secuestrar la autenticación de los administradores a través de vectores relacionados con el formulario de solicitud de acción (form action request) usando un controlador. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.10 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.4 http://open.silverstripe.org/changeset/115182 http://open.silverstripe.org/changeset/115185 http://secunia.com/advisories/42346 http://www.openwall.com/lists/oss-security/2011/01/03/12 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/ • CWE-264: Permissions, Privileges, and Access Controls •