CVSS: 4.7EPSS: 0%CPEs: 2EXPL: 0CVE-2013-4481 – luci: short exposure of authentication secrets while generating configuration file
https://notcve.org/view.php?id=CVE-2013-4481
21 Nov 2013 — Race condition in Luci 0.26.0 creates /var/lib/luci/etc/luci.ini with world-readable permissions before restricting the permissions, which allows local users to read the file and obtain sensitive information such as "authentication secrets." Condición de carrera en Luci 0.26.0 crea /var/lib/luci/etc/luci.ini con permisos de escritura antes de restringir los permisos, lo que permite a usuarios locales leer archivos y obtener información sensible, tal como los "secretos de autenticación". A flaw was found in ... • http://rhn.redhat.com/errata/RHSA-2013-1603.html • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2013-4482 – luci: paster hidden untrusted path and "command" (callable association) injection
https://notcve.org/view.php?id=CVE-2013-4482
21 Nov 2013 — Untrusted search path vulnerability in python-paste-script (aka paster) in Luci 0.26.0, when started using the initscript, allows local users to gain privileges via a Trojan horse .egg-info file in the (1) current working directory or (2) its parent directories. Vulnerabilidad de ruta de búsqueda no confiable en python-paste-script (también conocido como paster) en Luci 0.26.0, cuando se comienza a usar el initscript, permite a usuarios locales obtener privilegios a través de un caballo de troya en el archi... • http://rhn.redhat.com/errata/RHSA-2013-1603.html •
CVSS: 7.5EPSS: 1%CPEs: 34EXPL: 0CVE-2011-0720 – plone: unauthorized remote administrative access
https://notcve.org/view.php?id=CVE-2011-0720
03 Feb 2011 — Unspecified vulnerability in Plone 2.5 through 4.0, as used in Conga, luci, and possibly other products, allows remote attackers to obtain administrative access, read or create arbitrary content, and change the site skin via unknown vectors. Una vulnerabilidad no especificada en Plone versión 2.5 hasta 4.0, como se utiliza en Conga, luci, y posiblemente otros productos, permite a los atacantes remotos obtener acceso administrativo, leer o crear contenido arbitrario, y cambiar el aspecto del sitio por medio ... • http://osvdb.org/70753 • CWE-284: Improper Access Control •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2010-3852
https://notcve.org/view.php?id=CVE-2010-3852
05 Nov 2010 — The default configuration of Luci 0.22.4 and earlier in Red Hat Conga uses "[INSERT SECRET HERE]" as its secret key for cookies, which makes it easier for remote attackers to bypass repoze.who authentication via a forged ticket cookie. La configuración por defecto de Luci v0.22.4 y anteriores en Red Hat Conga utiliza "[INSERT SECRET HERE]" como su clave secreta para las cookies, lo que facilita a los atacantes remotos el saltarse la autenticación a través de una cookie repoze.who falsificada. • http://git.fedorahosted.org/git/?p=luci.git%3Ba=commit%3Bh=9e0bbf0c5faa198379d945474f7d55da5031cacf • CWE-287: Improper Authentication •