CVSS: 7.5EPSS: 15%CPEs: 2EXPL: 0CVE-2014-6262
https://notcve.org/view.php?id=CVE-2014-6262
12 Feb 2020 — Multiple format string vulnerabilities in the python module in RRDtool, as used in Zenoss Core before 4.2.5 and other products, allow remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted third argument to the rrdtool.graph function, aka ZEN-15415, a related issue to CVE-2013-2131. Múltiples vulnerabilidades de cadena de formato en el módulo de Python en RRDtool, como es usado en Zenoss Core versiones anteriores a 4.2.5 y otros productos, permiten a atacan... • http://www.kb.cert.org/vuls/id/449452 • CWE-134: Use of Externally-Controlled Format String •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14257
https://notcve.org/view.php?id=CVE-2019-14257
21 Aug 2019 — pyraw in Zenoss 2.5.3 allows local privilege escalation by modifying environment variables to redirect execution before privileges are dropped, aka ZEN-31765. pyraw en Zenoss versión 2.5.3 permite la escalada de privilegios locales al modificar las variables de entorno para redirigir la ejecución antes de que se caigan los privilegios, también conocido como ZEN-31765. • https://www.coalfire.com/The-Coalfire-Blog • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14258
https://notcve.org/view.php?id=CVE-2019-14258
21 Aug 2019 — The XML-RPC subsystem in Zenoss 2.5.3 allows XXE attacks that lead to unauthenticated information disclosure via port 9988. El subsistema XML-RPC en Zenoss versión 2.5.3 permite ataques XXE que conducen a la divulgación de información no autenticada a través del puerto 9988. • https://www.coalfire.com/The-Coalfire-Blog • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6253
https://notcve.org/view.php?id=CVE-2014-6253
15 Dec 2014 — Multiple cross-site request forgery (CSRF) vulnerabilities in Zenoss Core through 5 Beta 3 allow remote attackers to hijack the authentication of arbitrary users, aka ZEN-12653. Múltiples vulnerabilidades de CSRF en Zenoss Core hasta 5 Beta 3 permiten a atacantes remotos secuestrar la autenticación de usuarios arbitrarios, también conocido como ZEN-12653. • http://www.kb.cert.org/vuls/id/449452 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6254
https://notcve.org/view.php?id=CVE-2014-6254
15 Dec 2014 — Multiple cross-site scripting (XSS) vulnerabilities in Zenoss Core through 5 Beta 3 allow remote attackers to inject arbitrary web script or HTML via an attribute in a (1) device name, (2) device detail, (3) report name, (4) report detail, or (5) portlet name, or (6) a string to a helper method, aka ZEN-15381 and ZEN-15410. Múltiples vulnerabilidades de XSS en Zenoss Core hasta 5 Beta 3 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un atributo en (1) un nomb... • http://www.kb.cert.org/vuls/id/449452 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6256
https://notcve.org/view.php?id=CVE-2014-6256
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote attackers to bypass intended access restrictions and place files in a directory with public (1) read or (2) execute access via a move action, aka ZEN-15386. Zenoss Core hasta 5 Beta 3 permite a atacantes remotos evadir las restricciones de acceso y colocar ficheros en un directorio con acceso público de (1) lectura o (2) ejecución a través de una acción move, también conocido como ZEN-15386. • http://www.kb.cert.org/vuls/id/449452 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.1EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6257
https://notcve.org/view.php?id=CVE-2014-6257
15 Dec 2014 — Zenoss Core through 5 Beta 3 allows remote attackers to bypass intended access restrictions by using a web-endpoint URL to invoke an object helper method, aka ZEN-15407. Zenoss Core hasta 5 Beta 3 permite a atacantes remotos evadir las restricciones de acceso mediante el uso de una URL endpoint web para invocar un método de ayudante de objetos (object helper), también conocido como ZEN-15407. • http://www.kb.cert.org/vuls/id/449452 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6258
https://notcve.org/view.php?id=CVE-2014-6258
15 Dec 2014 — An unspecified endpoint in Zenoss Core through 5 Beta 3 allows remote attackers to cause a denial of service (CPU consumption) by triggering an arbitrary regular-expression match attempt, aka ZEN-15411. Un endpoint no especificado en Zenoss Core hasta 5 Beta 3 permite a atacantes remotos causar una denegación de servicio (consumo de CPU) mediante la provocación de un intento de emparejamiento de expresiones regulares arbitrarias, también conocido como ZEN-15411. • http://www.kb.cert.org/vuls/id/449452 • CWE-399: Resource Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6259
https://notcve.org/view.php?id=CVE-2014-6259
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not properly detect recursion during entity expansion, which allows remote attackers to cause a denial of service (memory and CPU consumption) via a crafted XML document containing a large number of nested entity references, aka ZEN-15414, a similar issue to CVE-2003-1564. Zenoss Core hasta 5 Beta 3 no detecta correctamente la recursión durante la expansión de entidades, lo que permite a atacantes remotos causar una denegación de servicio (consumo de memoria y CPU) a través... • http://www.kb.cert.org/vuls/id/449452 • CWE-399: Resource Management Errors •
CVSS: 9.8EPSS: 0%CPEs: 20EXPL: 0CVE-2014-6260
https://notcve.org/view.php?id=CVE-2014-6260
15 Dec 2014 — Zenoss Core through 5 Beta 3 does not require a password for modifying the pager command string, which allows remote attackers to execute arbitrary commands or cause a denial of service (paging outage) by leveraging an unattended workstation, aka ZEN-15412. Zenoss Core hasta 5 Beta 3 no requiere una contraseña para modificar la cadena de comandos del paginador, lo que permite a atacantes remotos ejecutar comandos arbitrarios o causar una denegación de servicio (interrupción de paginación) mediante el aprove... • http://www.kb.cert.org/vuls/id/449452 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •