CVE-2013-4701
https://notcve.org/view.php?id=CVE-2013-4701
Auth/Yadis/XML.php in PHP OpenID Library 2.2.2 and earlier allows remote attackers to read arbitrary files, send HTTP requests to intranet servers, or cause a denial of service (CPU and memory consumption) via XRDS data containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. Auth/Yadis/XML.php en PHP OpenID Library v2.2.2 y anteriores permite a atacantes remotos leer archivos arbitrarios, enviar peticiones HTTP a los servidores de intranet, o causar una denegación de servicio (consumo de CPU y de memoria) a través de datos XRDS que contienen una declaración de entidad externa en conjunto con una referencia a una entidad, en relación con un fallo en una XML External Entity (XXE). • http://jvn.jp/en/jp/JVN24713981/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2013-000080 http://lists.opensuse.org/opensuse-security-announce/2016-08/msg00028.html http://lists.opensuse.org/opensuse-updates/2016-08/msg00083.html https://github.com/openid/php-openid/commit/625c16bb28bb120d262b3f19f89c2c06cb9b0da9 •
CVE-2011-3707
https://notcve.org/view.php?id=CVE-2011-3707
JanRain PHP OpenID library (aka php-openid) 2.2.2 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by Auth/Yadis/Yadis.php and certain other files. JanRain PHP OpenID (también conocido como php-openid) v2.2.2 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con Auth/Yadis/Yadis.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/auth http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •