Vulnerabilidad en Profiles en XOOPS (CVE-2009-4851)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
07/05/2010
Última modificación:
11/04/2025
Descripción
La función de activación de reenvío en el módulo Profiles en XOOPS anteriores a v2.4.1 envía códigos de activación en respuesta a peticiones de activación de su elección , lo que provoca que atacantes remotos eviten la aprobación administrativa a través de una petición que implique activate.php.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xoops:xoops:*:*:*:*:*:*:*:* | 2.4.0 (incluyendo) | |
| cpe:2.3:a:xoops:xoops:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.0_rc1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.0_rc3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.0_rc3.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:1.3.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:2.0.0_rc1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:2.0.0_rc2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xoops:xoops:2.0.0_rc3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/37274
- http://www.vupen.com/english/advisories/2009/3256
- http://www.xoops.org/modules/newbb/viewtopic.php?post_id=319132
- http://www.xoops.org/modules/news/article.php?storyid=5096
- http://secunia.com/advisories/37274
- http://www.vupen.com/english/advisories/2009/3256
- http://www.xoops.org/modules/newbb/viewtopic.php?post_id=319132
- http://www.xoops.org/modules/news/article.php?storyid=5096