CVSS: 4.3EPSS: 0%CPEs: 14EXPL: 0CVE-2010-5187
https://notcve.org/view.php?id=CVE-2010-5187
SilverStripe 2.3.x before 2.3.8 and 2.4.x before 2.4.1, when running on servers with certain configurations, allows remote attackers to obtain sensitive information via a direct request to PHP files in the (1) sapphire, (2) cms, or (3) mysite folders, which reveals the installation path in an error message. SilverStripe v2.3.x anterior a v2.3.8 y v2.4.x anterior a v2.4.1, cuando está en ejecución el servidores con ciertas configuraciones, permite a atacantes remotos obtener información sensible a través de una petición directa a ficheros PHP en el (1) sapphire, (2) cms, o (3) carpetas mysite, lo que revela la ruta de instalación en un mensaje de error. • http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.3.8 http://doc.silverstripe.org/sapphire/en/trunk/changelogs//2.4.1 http://www.openwall.com/lists/oss-security/2012/04/30/1 http://www.openwall.com/lists/oss-security/2012/04/30/3 http://www.openwall.com/lists/oss-security/2012/05/01/3 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 19EXPL: 2CVE-2010-1593
https://notcve.org/view.php?id=CVE-2010-1593
Multiple cross-site scripting (XSS) vulnerabilities in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (1) the CommenterURL parameter to PostCommentForm, and in the Forum module before 0.2.5 in SilverStripe before 2.3.5 allow remote attackers to inject arbitrary web script or HTML via (2) the Search parameter to forums/search (aka the search script). Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en SilverStripe anterior a v2.3.5, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través 1) el parámetro CommenterURL en PostCommentForm, y en el módulo Forum anterior a v0.2.5 en SilverStripe anterior a v2.3.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (2) el parámetro Search en forums/search (también conocido como la secuencia de comandos de búsqueda). • http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0450.html http://groups.google.com/group/silverstripe-announce/browse_thread/thread/f51749342eee9456 http://open.silverstripe.org/changeset/97074 http://open.silverstripe.org/wiki/ChangeLog/2.3.5 http://osvdb.org/61921 http://osvdb.org/61923 http://secunia.com/advisories/38290 http://secunia.com/advisories/38347 http://www.securityfocus.com/archive/1/509139/100/0/threaded http://www.securityfocus.com/bid/37923 http:/& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •