Информационная безопасность
[RU] switch to English


Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11328
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:PHPMYADMIN : phpMyAdmin 3.3
 OPENBLOG : Open blog 1.2
 OCPRODUCTS : ocPortal 5.0
 LIGHTNEASY : LightNEasy 3.0
 OPENCART : OpenCart 1.4
 NIBBLOBLOG : Nibbleblog 3.0
 GEEKLOG : Geeklog 1.7
CVE:CVE-2010-4481 (phpMyAdmin before 3.4.0-beta1 allows remote attackers to bypass authentication and obtain sensitive information via a direct request to phpinfo.php, which calls the phpinfo function.)
 CVE-2010-4480 (error.php in PhpMyAdmin 3.3.8.1, and other versions before 3.4.0-beta1, allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted BBcode tag containing "@" characters, as demonstrated using "[[email protected]@page]".)
 CVE-2010-4329 (Cross-site scripting (XSS) vulnerability in the PMA_linkOrButton function in libraries/common.lib.php in the database (db) search script in phpMyAdmin 2.11.x before 2.11.11.1 and 3.x before 3.3.8.1 allows remote attackers to inject arbitrary web script or HTML via a crafted request.)
Оригинальный текстdocumentYGN Ethical Hacker Group, Geeklog 1.7.1 <= Cross Site Scripting Vulnerability (03.01.2011)
 documentDEBIAN, [SECURITY] [DSA 2139-1] New phpmyadmin packages fix several vulnerabilities (03.01.2011)
 documentHigh-Tech Bridge Security Research, SQL Injection in LightNEasy (03.01.2011)
 documentHigh-Tech Bridge Security Research, Information disclosure in LightNEasy (03.01.2011)
 documentHigh-Tech Bridge Security Research, LFI in LightNEasy (03.01.2011)
 documentHigh-Tech Bridge Security Research, Path disclosure in LightNEasy (03.01.2011)
 documentHigh-Tech Bridge Security Research, Path disclousure in Nibbleblog (03.01.2011)
 documentHigh-Tech Bridge Security Research, Path disclousure in OpenCart (03.01.2011)
 documentHigh-Tech Bridge Security Research, SQL Injection in LightNEasy (03.01.2011)
 documentHigh-Tech Bridge Security Research, Path disclousure in ocPortal (03.01.2011)
 documentHigh-Tech Bridge Security Research, CSRF (Cross-Site Request Forgery) in Open blog (03.01.2011)
 documentchin4b0y, Skadate Multiple Persistent Cross Site Scripting Vulnerabilities (Undisclosed New Vulnerability) (03.01.2011)

Переполнение буфера в ActiveX HP Photo Creative
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11329
Тип:клиент
Уровень опасности:
5/10
Описание:Переполнение буфера в параметре Resample.
Затронутые продукты:HP : Photo Creative 2.0
Оригинальный текстdocumentipsdix_(at)_gmail.com, HP Photo Creative v 2.x audio.Record.1 ActiveX Control (ContentMan.dll 1.0.0.4272) Remote Stack Based Buffer Overflow poc (03.01.2011)

DoS через WiFi против Apple Mac OS X
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11331
Тип:удаленная
Уровень опасности:
5/10
Описание:Отказ системы в WiFi сети с отключеным MCS.
Затронутые продукты:APPLE : MacOS X 10.6
Оригинальный текстdocumentAttilla de Groot, OS X 10.6.5 kernel crash upon wlan roaming with disabled mandatory MCS (03.01.2011)

Обход аутентификации в VMware ESXi
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11332
Тип:удаленная
Уровень опасности:
5/10
Описание:При обновлении возможен доступ SFCB без аутентификации.
Затронутые продукты:VMWARE : ESXi 4.1
CVE:CVE-2010-4573 (The Update Installer in VMware ESXi 4.1, when a modified sfcb.cfg is present, does not properly configure the SFCB authentication mode, which allows remote attackers to obtain access via an arbitrary username and password.)
Оригинальный текстdocumentVMWARE, VMSA-2010-0020 VMware ESXi 4.1 Update Installer SFCB Authentication Flaw (03.01.2011)

Проблема шел-символов в Citrix Access Gateway
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11333
Тип:удаленная
Уровень опасности:
7/10
Описание:Внедрение шел-символов в процессе аутентификации.
Затронутые продукты:CITRIX : Access Gateway Enterprise Edition 9.2
CVE:CVE-2010-4566 (The web authentication form in the NT4 authentication component in Citrix Access Gateway Enterprise Edition 9.2-49.8 and earlier, and the NTLM authentication component in Access Gateway Standard and Advanced Editions before Access Gateway 5.0, allows attackers to execute arbitrary commands via shell metacharacters in the password field.)
Оригинальный текстdocumentVSR Advisories, VSR Advisories: Citrix Access Gateway Command Injection Vulnerability (03.01.2011)

Выполнение кода в ActiveX Chilkat Software FTP2
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11334
Тип:клиент
Уровень опасности:
5/10
Описание:Метод GetFile позволяет загрузку файлов по произвольному пути.
Оригинальный текстdocumentipsdix_(at)_gmail.com, Chilkat Software FTP2 ActiveX Component (ChilkatFtp2.DLL 2.6.1.1) Remote Code Execution poc (03.01.2011)

Выполнение кода в HP StorageWorks Storage Mirroring
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11335
Тип:удаленная
Уровень опасности:
5/10
Затронутые продукты:HP : StorageWorks Storage Mirroring 5.2
CVE:CVE-2010-4116 (Unspecified vulnerability in HP StorageWorks Storage Mirroring 5.x before 5.2.2.1771.2 allows remote attackers to execute arbitrary code via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBST02619 SSRT100281 rev.2 - HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code (03.01.2011)

Многочисленные уязвимости безопасности во всех браузерах
Опубликовано:3 января 2011 г.
Источник:
SecurityVulns ID:11336
Тип:клиент
Уровень опасности:
9/10
Описание:С помощью фьюзера cross_fuzz было выявлено около сотни различных уязвимостей, преимущественно связанных с повреждением динамической памяти.
Оригинальный текстdocumentMichal Zalewski, Announcing cross_fuzz, a potential 0-day in circulation, and more (03.01.2011)
Файлы:cross_fuzz

Выполнение кода в Apache Axis2
дополнено с 3 января 2011 г.
Опубликовано:31 января 2011 г.
Источник:
SecurityVulns ID:11330
Тип:удаленная
Уровень опасности:
5/10
Описание:Учетная запись по умолчанию.
Затронутые продукты:CA : ARCserve D2D 15
 HP : Universal CMDB Server 9.0
 ORACLE : SAP BusinessObjects Crystal Reports Server 2008
Оригинальный текстdocumentCA, CA20101231-01: Security Notice for CA ARCserve D2D (updated) (31.01.2011)
 documentipsdix_(at)_gmail.com, CA ARCserve D2D r15 Web Service Apache Axis2 World Accessible Servlet Code Execution Vulnerability Poc (03.01.2011)
 documentCA, CA20101231-01: Security Notice for CA ARCserve D2D (03.01.2011)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород