Информационная безопасность
[RU] switch to English


Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11229
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:ZENCART : Zen Cart 1.3
 JAFCMS : JAF CMS 4.0
 MOZILLA : Bugzilla 3.2
 EOCMS : eoCMS 0.9
 MOZILLA : Bugzilla 3.4
 TEXTPATTTERN : Textpattern CMS 4.2
 MINIBB : MiniBB 2.5
 BASICCMS : SweetRice CMS 0.6
 BUGZILLA : Bugzilla 3.6
 BUGZILLA : Bugzilla 3.7
CVE:CVE-2010-3764 (The Old Charts implementation in Bugzilla 2.12 through 3.2.8, 3.4.8, 3.6.2, 3.7.3, and 4.1 creates graph files with predictable names in graphs/, which allows remote attackers to obtain sensitive information via a modified URL.)
 CVE-2010-3172 (CRLF injection vulnerability in Bugzilla before 3.2.9, 3.4.x before 3.4.9, 3.6.x before 3.6.3, and 4.0.x before 4.0rc1, when Server Push is enabled in a web browser, allows remote attackers to inject arbitrary HTTP headers and content, and conduct HTTP response splitting attacks, via a crafted URL.)
Оригинальный текстdocumentBUGZILLA, Security Advisory for Bugzilla 3.2.8, 3.4.8, 3.6.2, and 3.7.3 (04.11.2010)
 documentSalvatore "drosophila" Fresta, Zen Cart 1.3.9h Local File Inclusion Vulnerability (04.11.2010)
 documentmd.r00t.defacer_(at)_gmail.com, Adsoft Remote Sql Injection Vulnerability (04.11.2010)
 documentHigh-Tech Bridge Security Research, SQL injection in SweetRice CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, XSS in SweetRice CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, Reset admin password in SweetRice CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, Shell create & command execution in JAF CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, RFI in JAF CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, BBcode XSS in MiniBB (04.11.2010)
 documentHigh-Tech Bridge Security Research, SQL injection in MiniBB (04.11.2010)
 documentHigh-Tech Bridge Security Research, XSS in Textpattern CMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, LFI in eoCMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, Path disclosure in eoCMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, SQL injection in eoCMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, LFI in eoCMS (04.11.2010)
 documentHigh-Tech Bridge Security Research, BBcode XSS in eoCMS (04.11.2010)

Обход защиты в Apache Shiro
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11230
Тип:удаленная
Уровень опасности:
5/10
Описание:Обход защиты через обратный путь в каталогах.
Затронутые продукты:APACHE : Shiro 1.0
CVE:CVE-2010-3863 (Apache Shiro before 1.1.0, and JSecurity 0.9.x, does not canonicalize URI paths before comparing them to entries in the shiro.ini file, which allows remote attackers to bypass intended access restrictions via a crafted request, as demonstrated by the /./account/index.jsp URI.)
Оригинальный текстdocumentAPACHE, CVE-2010-3863: Apache Shiro information disclosure vulnerability (04.11.2010)

Утечка информации в Broadsoft BroadWorks
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11231
Тип:удаленная
Уровень опасности:
5/10
Описание:Информация о входящих и исходящих звонках доступна без аутентификации.
Затронутые продукты:BROADSOFT : BroadWorks 16
Оригинальный текстdocumentNick Freeman, Security-Assessment.com Advisory: BroadWorks Call Detail Record Disclosure Vulnerability (04.11.2010)

Многочисленные уязвимости безопасности в HP Palm WebOS
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11232
Тип:клиент
Уровень опасности:
5/10
Описание:Выполнение кода, доступ к файлам.
Затронутые продукты:HP : Palm webOS 1.4
CVE:CVE-2010-4027 (Unspecified vulnerability in the camera application in HP Palm webOS 1.4.1 allows local users to overwrite arbitrary files via unknown vectors.)
 CVE-2010-4026 (Unspecified vulnerability in the service API in HP Palm webOS 1.4.1 allows local users to gain privileges by leveraging the ability to perform certain service calls.)
 CVE-2010-4025 (Unspecified vulnerability in Doc Viewer in HP Palm webOS 1.4.1 allows remote attackers to execute arbitrary code via a crafted document, as demonstrated by a Word document.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMI02580 SSRT100254 rev.1 - Palm webOS, Code execution vulnerability in Palm webOS service API (04.11.2010)
 documentHP, [security bulletin] HPSBMI02582 SSRT100269 rev.1 - Palm webOS Camera Application, Unauthorized Write Access (04.11.2010)
 documentHP, [security bulletin] HPSBMI02573 SSRT100227 rev.1 - Palm webOS, webOS Doc Viewer, Execution of Arbitrary Code (04.11.2010)

DoS против HP LoadRunner Web Tours
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11233
Тип:удаленная
Уровень опасности:
5/10
Затронутые продукты:HP : LoadRunner 9.1
CVE:CVE-2010-4028 (Unspecified vulnerability in LoadRunner Web Tours 9.10 in HP LoadRunner 9.1 and earlier allows remote attackers to cause a denial of service, and possibly obtain sensitive information or modify data, via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMA02533 SSRT080049 rev.1 - HP LoadRunner Web Tours 9.10 Remote Denial of Service (04.11.2010)

Несанкционированный доступ к HP Storage Essentials
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11234
Тип:удаленная
Уровень опасности:
5/10
Описание:Несанкционированный доступ при использовании LDAP.
Затронутые продукты:HP : HP Storage Essentials 6.0
 HP : HP Storage Essentials 5.1
 HP : HP Storage Essentials 6.1
 HP : HP Storage Essentials 6.2
CVE:CVE-2010-4029 (Unspecified vulnerability in HP Storage Essentials before 6.3.0, when LDAP authentication is enabled, allows remote attackers to obtain sensitive information, modify data, or cause a denial of service via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBST02595 SSRT1000303 rev.1 - HP Storage Essentials Using LDAP, Remote Unauthenticated Access (04.11.2010)

Несанкционированный доступ к файлам через HP Virtual Server Environment / HP Virtual Connect Enterprise Manager
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11235
Тип:удаленная
Уровень опасности:
5/10
Затронутые продукты:HP : HP Virtual Server Environment 6.2
 HP : HP Virtual Connect Enterprise Manager 6.1
CVE:CVE-2010-3990 (Unspecified vulnerability in HP Virtual Server Environment before 6.2 allows remote attackers to read arbitrary files via unknown vectors.)
 CVE-2010-3986 (Unspecified vulnerability in HP Virtual Connect Enterprise Manager (VCEM) 6.0 and 6.1 allows remote attackers to read arbitrary files via unknown vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMA02593 SSRT100237 rev.1 - HP Virtual Connect Enterprise Manager (VCEM) for Windows, Remote Arbitrary File Download (04.11.2010)
 documentHP, [security bulletin] HPSBMA02599 SSRT100235 rev.1 - HP Virtual Server Environment for Windows, Remote Arbitrary File Download (04.11.2010)

Межсайтовый скриптинг в HP Version Control Repository Manager
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11236
Тип:удаленная
Уровень опасности:
5/10
Затронутые продукты:HP : HP Version Control Repository Manager 6.3
CVE:CVE-2010-3994 (Cross-site scripting (XSS) vulnerability in HP Version Control Repository Manager (VCRM) before 6.2 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMA02597 SSRT100198 rev.1 - HP Version Control Repository Manager (VCRM) for Windows, Remote Cross Site Scripting (XSS) (04.11.2010)

Уязвимости безопасности в ActiveX HP Software Update HPeDiag
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11237
Тип:удаленная
Уровень опасности:
5/10
Описание:Утечка информации, выполнение кода.
Затронутые продукты:HP : HP Software Update 4.0
CVE:CVE-2008-0712
Оригинальный текстdocumentHP, [security bulletin] HPSBGN02333 SSRT080031 rev.2 - HP Software Update HPeDiag Running on Windows, Remote Disclosure of Information and Execution of Arbitrary Code (04.11.2010)

Межсайтовый скриптинг в HP AssetCenter / AssetManager
Опубликовано:4 ноября 2010 г.
Источник:
SecurityVulns ID:11238
Тип:удаленная
Уровень опасности:
5/10
Затронутые продукты:HP : AssetCenter 5.03
 HP : AssetManager 5.12
 HP : AssetManager 5.22
CVE:CVE-2010-3291 (Cross-site scripting (XSS) vulnerability in HP AssetCenter 5.0x through AC_5.03, and AssetManager 5.1x through AM_5.12 and 5.2x through AM_5.22, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.)
Оригинальный текстdocumentHP, [security bulletin] HPSBMA02596 SSRT100271 rev.1 - HP AssetCenter and HP AssetManager for AIX, HP-UX, Linux, Solaris and Windows , Remote Cross Site Scripting (XSS) (04.11.2010)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород