CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-2253
https://notcve.org/view.php?id=CVE-2017-2253
Untrusted search path vulnerability in Installer of Yahoo! Toolbar (for Internet explorer) v8.0.0.6 and earlier, with its timestamp prior to June 13, 2017, 18:18:55 allows an attacker to gain privileges via a Trojan horse DLL in an unspecified directory. Una vulnerabilidad de ruta (path) de búsqueda no confiable en el instalador de Yahoo! Toolbar (para Internet explorer) versión v8.0.0.6 y anteriores, con su marca de tiempo anterior al 13 de junio de 2017, 18:18:55, permite a un atacante alcanzar privilegios por medio de una DLL de tipo caballo de Troya en un directorio no especificado. • https://jvn.jp/en/jp/JVN02852421/index.html • CWE-426: Untrusted Search Path •
CVSS: 6.8EPSS: 1%CPEs: 2EXPL: 1CVE-2007-6536
https://notcve.org/view.php?id=CVE-2007-6536
The Custom Button Installer dialog in Google Toolbar 4 and 5 beta presents certain domain names in the (1) "Downloaded from" and (2) "Privacy considerations" sections without verifying domain names, which makes it easier for remote attackers to spoof domain names and trick users into installing malicious button XML files, as demonstrated by presenting www.google.com when the button was downloaded from an arbitrary site through an open redirector on www.google.com. El diálogo Instalador de Botón Personalizado (Custom Button Installer) en Google Toolbar 4 y 5 beta presenta determinados nombres de dominio en las secciones (1) "Descargado desde" (Downloaded from) y (2) "Consideraciones de privacidad" (Privacy considerations) sin verificar los nombres de dominio, lo cual facilita a los atacantes falsificar nombres de dominio y engañar a los usuarios para que instalen archivos XML de botones maliciosos, como se ha demostrado presentando www.google.com cuando el botón se descargó de un sitio arbitrario a través de un redirector abierto en www.google.com. • http://aviv.raffon.net/2007/12/18/GoogleToolbarDialogSpoofingVulnerability.aspx http://secunia.com/advisories/28166 http://securityreason.com/securityalert/3491 http://www.osvdb.org/39499 http://www.securityfocus.com/archive/1/485288/100/0/threaded http://www.securityfocus.com/bid/26923 https://exchange.xforce.ibmcloud.com/vulnerabilities/39164 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •