Раскрытие важных данных в WordPress wp-FileManager

Опасность: Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:W/RC:C) = Base:4.3/Temporal:3.5
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: WordPress wp-FileManager Plugin 1.x

Уязвимые версии: WordPress wp-FileManager 1.3.0, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за того, что приложение не правильно ограничивает доступ к wp-content/plugins/wp-filemanager/incl/libfile.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, загрузить произвольный файл на системе.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы в настройках плагина wp-FileManager была включена функция "Allow Download".

URL производителя: http://wordpress.org/extend/plugins/wp-filemanager/

Решение: Установите обновление из SVN-репозитория.

Ссылки:
http://packetstormsecurity.com/files/121637/WordPress-wp-FileManager-File-Download.html



Повышение привилегий в EMC NetWorker

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
CVE ID: CVE-2013-0940
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: EMC NetWorker (formerly Legato NetWorker) 7.x
EMC NetWorker 8.x

Уязвимые версии:
EMC NetWorker 7.6.5.2, возможно более ранние версии
EMC NetWorker 8.0.1.3, возможно более ранние версии

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за того, что процесс "nsrpush" создает файлы с небезопасными правами доступа. Локальный пользователь может манипулировать сценариями и выполнить код с повышенными привилегиями

URL производителя: http://ukraine.emc.com/backup-and-recovery/networker/networker.htm

Решение: Установите последнюю версию с сайта производителя.

Ссылки:
http://archives.neohapsis.com/archives/bugtraq/2013-05/att-0013/ESA-2013-028.txt



Повышение привилегий в IBM AIX

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: AIX 6.x
AIX 7.x

Уязвимые версии:
IBM AIX 6.1
IBM AIX 7.1

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Уязвимость существует из-за неизвестной ошибки в ibstat binary. Локальный пользователь может выполнить произвольный код с повышенными привилегиями.

URL производителя: http://www-03.ibm.com/systems/power/software/aix/v61/index.html

Решение: Установите обновление с сайта производителя.

Ссылки:
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43106
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43539
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43561
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43562
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43580
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43582
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43652
http://www-01.ibm.com/support/docview.wss?uid=isg1IV43657



Межсайтовый скриптинг в WordPress PayPal Digital Goods

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:4.3/Temporal:3.7
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: WordPress PayPal Digital Goods Plugin 2.x

Уязвимые версии: WordPress PayPal Digital Goods 2.2.13 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии wp-content/plugins/paypal-digital-goods-monetization-powered-by-cleeng/js/ZeroClipboard.swf. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://wordpress.org/extend/plugins/paypal-digital-goods-monetization-powered-by-cleeng/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://www.openwall.com/lists/oss-security/2013/03/10/2



Множественные уязвимости в Microsoft Windows Flash Player

Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 4
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.
Подробнее: Множественные уязвимости в Microsoft Windows Flash Player

Обход ограничений безопасности в NetGear DGN1000

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:A/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.9/Temporal:5.8
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: NetGear DGN1000

Уязвимые версии: NetGear DGN1000 версии до 1.1.0.48

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что устройство не правильно ограничивает доступ, к примеру, к setup.cgi, когда параметр "currentsetting.htm" установлен. Удаленный пользователь может получить не авторизованный доступ к устройству и защищенному функционалу и впоследствии выполнить произвольные команды операционной системы на устройстве.

URL производителя: http://www.netgear.com/home/products/wirelessrouters/simplesharing/dgn1000.aspx#

Решение: Установите последнюю версию 1.1.0.48 с сайта производителя.

Ссылки:
http://archives.neohapsis.com/archives/bugtraq/current/0009.html



Повышение привилегий в FreeBSD

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: FreeBSD 9.x

Уязвимые версии: FreeBSD 9.х, возможно более ранние версии.

Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.

Подробное описание уязвимости смотрите здесь:
http://www.securitylab.ru/vulnerability/438742.php

URL производителя: http://www.freebsd.org/releases/9.0R/announce.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://www.openwall.com/lists/oss-security/2013/03/14/22



Раскрытие важных данных в Microsoft Internet Explorer

Опасность: Низкая
Наличие исправления: Нет
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:P/RL:U/RC:C) = Base:5/Temporal:4.5
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: PoC код
Уязвимые продукты: Microsoft Internet Explorer 10.x

Уязвимые версии: Microsoft Internet Explorer 10 10.0.9200.16540

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за того, что MSXML возвращает различные ответы в зависимости от того, присутствует файл или директория на системе или нет. Удаленный пользователь может с помощью брут-форс атаки получить список существующих файлов и папок на системе.

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки:
http://soroush.secproject.com/blog/2013/04/microsoft-xmldom-in-ie-can-divulge-information-of-local-drivenetwork-in-error-messages/



Обход ограничений безопасности в Octopussy

Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Octopussy 1.x

Уязвимые версии: Octopussy версии до 1.0.9

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение неправильно ограничивает доступ к некоторым функциями. Подробности не разглашаются.

URL производителя: http://www.octopussy.pm/

Решение: Установите последнюю версию 1.0.9 с сайта производителя.

Ссылки:
http://sourceforge.net/p/syslog-analyzer/code/640/
http://sourceforge.net/p/syslog-analyzer/code/641/



Компрометация системы в X.Org libXfixes

Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:9.3/Temporal:6.9
CVE ID: CVE-2013-1983
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: X.Org libXfixes 5.x

Уязвимые версии: X.Org libXfixes 5.0, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки целочисленного переполнения памяти в функции "XFixesGetCursorImage()" при обработке ответов. Удаленный пользователь может вызвать переполнение буфера.

Примечание: Успешная эксплуатация уязвимости позволяет выполнить произвольный код, однако требует, чтобы пользователь подключился к вредоносном серверу X.

URL производителя: http://cgit.freedesktop.org/xorg/lib/libXfixes

Решение: Установите последнюю версию 5.0.1 с сайта производителя.

Ссылки:
http://www.x.org/wiki/Development/Security/Advisory-2013-05-23




Кто Онлайн

Сейчас 9 гостей и ни одного зарегистрированного пользователя на сайте