CVE-2008-4447 – H-Sphere WebShell 4.3.10 - 'actions.php' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2008-4447
Cross-site scripting (XSS) vulnerability in actions.php in Positive Software H-Sphere WebShell 4.3.10 allows remote attackers to inject arbitrary web script or HTML via (1) the fn parameter during a dload action, (2) the mask parameter during a search action, and (3) the tab parameter during a sysinfo action. Una vulnerabilidad de tipo cross-site scripting (XSS), en el archivo actions.php en el Software H-Sphere WebShell de Positive versión 4.3.10, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de (1) el parámetro fn durante una acción de descarga, (2) el parámetro mask durante una acción dload, y (3) el parámetro tab durante una acción sysinfo. • https://www.exploit-db.com/exploits/32449 http://packetstormsecurity.org/0810-exploits/webshell431-xssxsrf.txt http://secunia.com/advisories/32086 http://www.securityfocus.com/bid/31524 https://exchange.xforce.ibmcloud.com/vulnerabilities/45613 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-4448
https://notcve.org/view.php?id=CVE-2008-4448
Cross-site request forgery (CSRF) vulnerability in actions.php in Positive Software H-Sphere WebShell 4.3.10 allows remote attackers to perform unauthorized actions as an administrator, including file deletion and creation, via a link or IMG tag to the (1) overkill, (2) futils, or (3) edit actions. Vulnerabilidad de falsificación de petición en sitios cruzados (CSFR) en actions.php en H-Sphere WebShell 4.3.10 de Positive Software permite a atacantes remotos llevar a cabo acciones no autorizadas como administrador, incluidos el borrado y la creación de archivos, a través de un enlace o etiqueta IMG a las acciones (1) Overkill, (2) futils, o (3) edit. • http://packetstormsecurity.org/0810-exploits/webshell431-xssxsrf.txt http://secunia.com/advisories/32086 https://exchange.xforce.ibmcloud.com/vulnerabilities/45614 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2008-1049
https://notcve.org/view.php?id=CVE-2008-1049
Unspecified vulnerability in Parallels SiteStudio before 1.7.2, and 1.8.x before 1.8b, as used in Parallels H-Sphere 3.0 before Patch 9 and 2.5 before Patch 11, has unknown impact and attack vectors. Vulnerabilidad no especificada en Parallels SiteStudio en versiones anteriores a 1.7.2, y 1.8.x en versiones anteriores 1.8b, como lo utilizado en Parallels H-Sphere 3.0 en versiones anteriores a Patch 9 y 2.5 en versiones anteriores a Patch 11, tiene un efecto y vectores de ataque desconocidos. • http://secunia.com/advisories/29084 http://www.psoft.net/misc/hs_ss_technical_update.html http://www.securityfocus.com/bid/28002 http://www.securitytracker.com/id?1019506 https://exchange.xforce.ibmcloud.com/vulnerabilities/40846 •
CVE-2007-2633
https://notcve.org/view.php?id=CVE-2007-2633
Directory traversal vulnerability in H-Sphere SiteStudio 1.6 allows remote attackers to read, or include and execute, arbitrary local files via a .. (dot dot) in the template parameter. Vulnerabilidad de salto de directorio en H-Sphere SiteStudio 1.6 permite a atacantes remotos leer, o incluir y ejecutar, archivos locales de su elección a través de la secuencia ..(punto punto) en el parámetro template. • http://osvdb.org/35977 http://secunia.com/advisories/25243 http://www.psoft.net/SS/fixes/index.php?id=94 http://www.vupen.com/english/advisories/2007/1772 https://exchange.xforce.ibmcloud.com/vulnerabilities/34243 •
CVE-2006-6382
https://notcve.org/view.php?id=CVE-2006-6382
The control panel for Positive Software H-Sphere before 2.5.0 RC3 creates log files in a user's directory with insecure permissions, which allows local users to append log data to arbitrary files via a symlink attack. NOTE: The provenance of this information is unknown; the details are obtained solely from third party information. El panel de control para Positive Software H-Sphere versiones anteriores a 2.5.0 RC3 crea ficheros de log en directorio de usuario con permisos no seguros, que permite a usuarios locales añadir datos de log a ficheros de su elección mediante ataque de enlaces simbólicos. NOTA: El origen de esta información es desconocido. Los detalles se han obtenido exclusivamente de información de terceros. • http://secunia.com/advisories/23199 http://www.securityfocus.com/bid/21436 https://exchange.xforce.ibmcloud.com/vulnerabilities/30753 •