CVSS: 4.3EPSS: 17%CPEs: 5EXPL: 0CVE-2009-0239
https://notcve.org/view.php?id=CVE-2009-0239
Cross-site scripting (XSS) vulnerability in Windows Search 4.0 for Microsoft Windows XP SP2 and SP3 and Server 2003 SP2 allows user-assisted remote attackers to inject arbitrary web script or HTML via a crafted file that appears in a preview in a search result, aka "Script Execution in Windows Search Vulnerability." Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Windows Search v4.0 para Microsoft Windows XP SP2 y SP3 y Server 2003 SP2, permite a atacantes remotos asistidos por usuarios inyectar secuencias de comandos web o HTML de su elección a través un fichero manipulado que aparece en una vita previa como resultado de una búsqueda, también conocido como "Vulnerabilidad de Ejecución de secuencia de comandos en Búsqueda en Windows". • http://osvdb.org/54935 http://secunia.com/advisories/35366 http://www.securitytracker.com/id?1022353 http://www.us-cert.gov/cas/techalerts/TA09-160A.html http://www.vupen.com/english/advisories/2009/1542 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-023 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5428 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 59%CPEs: 6EXPL: 0CVE-2008-4032
https://notcve.org/view.php?id=CVE-2008-4032
Microsoft Office SharePoint Server 2007 Gold and SP1 and Microsoft Search Server 2008 do not properly perform authentication and authorization for administrative functions, which allows remote attackers to cause a denial of service (server load), obtain sensitive information, and "create scripts that would run in the context of the site" via requests to administrative URIs, aka "Access Control Vulnerability." Microsoft Office SharePoint Server 2007 Gold y SP1 y Microsoft Search Server 2008 no realizan apropiadamente la autenticación y autorización de funciones administrativas, lo que permite a atacantes remotos provocar una denegación de servicio (server load), obtener información sensible y "crear scripts que podrían ejecutarse en el contexto del sitio" mediante peticiones a URIs de administración, alias "Vulnerabilidad de Control de Acceso". • http://secunia.com/advisories/33063 http://www.securitytracker.com/id?1021367 http://www.us-cert.gov/cas/techalerts/TA08-344A.html http://www.vupen.com/english/advisories/2008/3389 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-077 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5774 • CWE-287: Improper Authentication •