Информационная безопасность
[RU] switch to English


Cводка уязвимостей безопасности в Web-приложениях (PHP, ASP, JSP, CGI, Perl)
Опубликовано:9 сентября 2011 г.
Источник:
SecurityVulns ID:11896
Тип:удаленная
Уровень опасности:
5/10
Описание:Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, модификация файлов, утечка информации и т.д.
Затронутые продукты:MANTIS : MantisBT 1.2
 MYBB : Mybb 1.6
 RAILS : rails 2.3
 ZIKULA : Zikula 1.3
 LIGHTNEASY : LightNEasy 3.4
 WORDPRESS : 1 Flash Gallery 1.5
CVE:CVE-2011-3186 (CRLF injection vulnerability in actionpack/lib/action_controller/response.rb in Ruby on Rails 2.3.x before 2.3.13 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via the Content-Type header.)
 CVE-2011-2931 (Cross-site scripting (XSS) vulnerability in the strip_tags helper in actionpack/lib/action_controller/vendor/html-scanner/html/node.rb in Ruby on Rails before 2.3.13, 3.0.x before 3.0.10, and 3.1.x before 3.1.0.rc5 allows remote attackers to inject arbitrary web script or HTML via a tag with an invalid name.)
 CVE-2011-2930 (Multiple SQL injection vulnerabilities in the quote_table_name method in the ActiveRecord adapters in activerecord/lib/active_record/connection_adapters/ in Ruby on Rails before 2.3.13, 3.0.x before 3.0.10, and 3.1.x before 3.1.0.rc5 allow remote attackers to execute arbitrary SQL commands via a crafted column name.)
 CVE-2009-4214 (Cross-site scripting (XSS) vulnerability in the strip_tags function in Ruby on Rails before 2.2.s, and 2.3.x before 2.3.5, allows remote attackers to inject arbitrary web script or HTML via vectors involving non-printing ASCII characters, related to HTML::Tokenizer and actionpack/lib/action_controller/vendor/html-scanner/html/node.rb.)
Оригинальный текстdocumentRener Silva, XSS Ebuddy (responsible disclosure) (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Virtualismi (prodotto.php?id) Cross Site Scripting Vulnerabilities (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Loop (ricetta.php?id) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Manifattura Web (prodotto.php?id) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Editel (news-dettaglio.php?id) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, BvCom (dettaglio.php?idnews) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, WSTAFF Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, MaiNick (ricetta.php?id) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Abarkam (detail.php?input) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, TTW (ricetta.php?id) Remote SQL injection Vulnerability (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Pranian Group e107 Cross Site Scripting Vulnerabilities (09.09.2011)
 documentEhsan_Hp200_(at)_hotmail.com, Pranian Group e107 Cross Site Scripting Vulnerabilities (09.09.2011)
 documentDEBIAN, [SECURITY] [DSA 2301-1] rails security update (09.09.2011)
 documentsupernothing_(at)_spareclockcycles.org, Arbitrary File Upload in '1 Flash Gallery' Wordpress Plugin (09.09.2011)
 documentsschurtz_(at)_t-online.de, Multiple XSS vulnerabilities in LightNEasy 3.2.4 (09.09.2011)
 documentMustLive, Security bypass vulnerability in MyBB (09.09.2011)
 documentHigh-Tech Bridge Security Research, XSS in Zikula (09.09.2011)
 documentHigh-Tech Bridge Security Research, Multiple vulnerabilities in MantisBT (09.09.2011)

DoS против CSRSS Microsoft Windows
Опубликовано:9 сентября 2011 г.
Источник:
SecurityVulns ID:11897
Тип:удаленная
Уровень опасности:
5/10
Описание:Обращение по нулевому указателю при консольном чтении со стандартного ввода при закрытом стандартном выводе и ошибке.
Затронутые продукты:MICROSOFT : Windows 2008 Server
Оригинальный текстdocumentAliz 'Randomdude', Windows server 2008 R1 local DoS (09.09.2011)

Несанкционированый доступ Novell Cloud Manager
Опубликовано:9 сентября 2011 г.
Источник:
SecurityVulns ID:11898
Тип:удаленная
Уровень опасности:
5/10
Описание:Недостаточная аутентификация в RPC-службе.
Затронутые продукты:NOVELL : Novell Cloud Manager 1.1
CVE:CVE-2011-2654 (The RPC implementation in the server in Novell Cloud Manager 1.1.2 before Patch 3 does not properly initialize objects, which allows remote attackers to execute arbitrary code by making RPC calls that leverage incorrect privileges associated with a partially initialized session.)
Оригинальный текстdocumentZDI, ZDI-11-278: Novell Cloud Manager Insufficient Framework User Validation Vulnerability (09.09.2011)
Файлы:Cloud Manager 1.1.X / PlateSpin Orchestrate 2.6.0 Patch3

Переполнение буфера в Witness Systems eQuality Unify
Опубликовано:9 сентября 2011 г.
Источник:
SecurityVulns ID:11899
Тип:удаленная
Уровень опасности:
5/10
Описание:Переполнение буфера при разборе пакета TCP/6821
Оригинальный текстdocumentZDI, ZDI-11-279: (0day) Witness Systems eQuality Unify Remote Code Execution Vulnerability (09.09.2011)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород