CVSS: 5.1EPSS: 0%CPEs: 2EXPL: 0CVE-2014-4078
https://notcve.org/view.php?id=CVE-2014-4078
The IP Security feature in Microsoft Internet Information Services (IIS) 8.0 and 8.5 does not properly process wildcard allow and deny rules for domains within the "IP Address and Domain Restrictions" list, which makes it easier for remote attackers to bypass an intended rule set via an HTTP request, aka "IIS Security Feature Bypass Vulnerability." La caracteristica de seguridad IP en Microsoft Internet Information Services (IIS) 8.0 y 8.5 no procesa debidamente el permitir comodín y negar las normas para dominios dentro de la lista 'Restricciones de Direcciones IP y Dominios', lo que facilita a atacantes remotos evadir un juego de normas a través de una solicitud HTTP, también conocido como 'vulnerabilidad de de la evasión de la caracteristica de seguridad en IIS.' • http://www.securityfocus.com/bid/70937 http://www.securitytracker.com/id/1031194 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-076 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 5CVE-2011-5279
https://notcve.org/view.php?id=CVE-2011-5279
CRLF injection vulnerability in the CGI implementation in Microsoft Internet Information Services (IIS) 4.x and 5.x on Windows NT and Windows 2000 allows remote attackers to modify arbitrary uppercase environment variables via a \n (newline) character in an HTTP header. Vulnerabilidad de inyección CRLF en la implementación CGI en Microsoft Internet Information Services (IIS) 4.x y 5.x en Windows NT y Windows 2000 permite a atacantes remotos modificar variables de entorno en mayúsculas a través de una caracter \n (newline) en una cabecera HTTP. • http://hi.baidu.com/yuange1975/item/b2cc7141c22108e91e19bc2e http://seclists.org/fulldisclosure/2012/Apr/0 http://seclists.org/fulldisclosure/2012/Apr/13 http://seclists.org/fulldisclosure/2014/Apr/108 http://seclists.org/fulldisclosure/2014/Apr/128 http://seclists.org/fulldisclosure/2014/Apr/247 •
CVSS: 10.0EPSS: 96%CPEs: 1EXPL: 3CVE-2010-3972 – Microsoft IIS 7.5 (Windows 7) - FTPSVC Unauthorized Remote Denial of Service (PoC)
https://notcve.org/view.php?id=CVE-2010-3972
Heap-based buffer overflow in the TELNET_STREAM_CONTEXT::OnSendData function in ftpsvc.dll in Microsoft FTP Service 7.0 and 7.5 for Internet Information Services (IIS) 7.0, and IIS 7.5, allows remote attackers to execute arbitrary code or cause a denial of service (daemon crash) via a crafted FTP command, aka "IIS FTP Service Heap Buffer Overrun Vulnerability." NOTE: some of these details are obtained from third party information. La función TELNET_STREAM_CONTEXT::OnSendData en el manejador de protocolo FTP (ftpsvc.dll) para Microsoft Internet Information Services (IIS) v7.5 permite a atacantes remoso causar una denegación de servicio (caída) y probablemente ejecutar código de su elección a través de peticiones FTP manipuladas que provocan una corrupción de memoria. NOTA: algunos de estos detalles se han obtenido de información de terceros. • https://www.exploit-db.com/exploits/15803 http://blogs.technet.com/b/srd/archive/2011/01/07/assessing-the-risk-of-public-issues-currently-being-tracked-by-the-msrc.aspx http://secunia.com/advisories/42713 http://www.exploit-db.com/exploits/15803 http://www.kb.cert.org/vuls/id/842372 http://www.securityfocus.com/bid/45542 http://www.securitytracker.com/id?1024921 http://www.vupen.com/english/advisories/2010/3305 https://docs.microsoft.com/en-us/security-updates/securit • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 6.4EPSS: 96%CPEs: 8EXPL: 5CVE-2010-3332 – Microsoft ASP.NET - Padding Oracle (MS10-070)
https://notcve.org/view.php?id=CVE-2010-3332
Microsoft .NET Framework 1.1 SP1, 2.0 SP1 and SP2, 3.5, 3.5 SP1, 3.5.1, and 4.0, as used for ASP.NET in Microsoft Internet Information Services (IIS), provides detailed error codes during decryption attempts, which allows remote attackers to decrypt and modify encrypted View State (aka __VIEWSTATE) form data, and possibly forge cookies or read application files, via a padding oracle attack, aka "ASP.NET Padding Oracle Vulnerability." Microsoft .NET Framework versiones 1.1 SP1, 2.0 SP1 y SP2, 3.5, 3.5 SP1, 3.5.1 y 4.0, tal y como es usado por ASP.NET de Internet Information Services (IIS) de Microsoft, proporciona códigos de error detallados durante los intentos de descifrado, lo que permite a los atacantes remotos descifrar y modificar los datos cifrados del formulario View State (también se conoce como __VIEWSTATE), y posiblemente falsificar cookies o leer archivos de aplicación, por medio de un ataque de tipo oracle padding, también se conoce como "ASP.NET Padding Oracle Vulnerability". • https://www.exploit-db.com/exploits/15213 https://www.exploit-db.com/exploits/15265 https://www.exploit-db.com/exploits/15292 http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx http://isc.sans.edu/diary.html?storyid=9568 http://pentonizer.com/general-programming/aspnet-poet-vulnerability-what-else-can-i-do http://secunia.com/advisories/41409 http://securitytracker.com/id?1024459 http://threatpost.com/en_us/blogs/new-crypto-attack-af • CWE-209: Generation of Error Message Containing Sensitive Information •
CVSS: 9.3EPSS: 24%CPEs: 1EXPL: 0CVE-2010-2730
https://notcve.org/view.php?id=CVE-2010-2730
Buffer overflow in Microsoft Internet Information Services (IIS) 7.5, when FastCGI is enabled, allows remote attackers to execute arbitrary code via crafted headers in a request, aka "Request Header Buffer Overflow Vulnerability." Desbordamiento de buffer en Microsoft Internet Information Services (IIS) v7.5, cuando está habilitado FastCGI, permite a los atacantes remotos ejecutar código a su elección a través de cabeceras manipuladas en una petición, también conocido como "Request Header Buffer Overflow Vulnerability". • https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-065 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6933 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •