CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2015-2318
https://notcve.org/view.php?id=CVE-2015-2318
The TLS stack in Mono before 3.12.1 allows man-in-the-middle attackers to conduct message skipping attacks and consequently impersonate clients by leveraging missing handshake state validation, aka a "SMACK SKIP-TLS" issue. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes Man-in-the-Middle (MitM) realicen ataques de salto de mensajes y que puedan suplantar clientes aprovechándose de la falta de validación del estado de los "handshakes". Esta vulnerabilidad también se conoce como "SMACK SKIP-TLS". • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73253 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/1509226c41d74194c146deb173e752b8d3cdeec4 https://mitls.org/pages/attacks/SMACK#skip https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-2319
https://notcve.org/view.php?id=CVE-2015-2319
The TLS stack in Mono before 3.12.1 makes it easier for remote attackers to conduct cipher-downgrade attacks to EXPORT_RSA ciphers via crafted TLS traffic, related to the "FREAK" issue, a different vulnerability than CVE-2015-0204. La pila TLS en Mono en versiones anteriores a la 3.12.1 hace que sea más fácil para los atacantes remotos realizar ataques de degradación de cifrado para los cifrados EXPORT_RSA a través de tráfico TLS manipulado. Esta vulnerabilidad está relacionada con el problema "FREAK", una vulnerabilidad diferente de CVE-2015-0204. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73250 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/9c38772f094168d8bfd5bc73bf8925cd04faad10 https://mitls.org/pages/attacks/SMACK#freak https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2015-2320
https://notcve.org/view.php?id=CVE-2015-2320
The TLS stack in Mono before 3.12.1 allows remote attackers to have unspecified impact via vectors related to client-side SSLv2 fallback. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes remotos provoquen un impacto sin especificar mediante vectores relacionados con el fallback SSLv2 del lado del cliente. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73256 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/b371da6b2d68b4cdd0f21d6342af6c42794f998b https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2012-3382
https://notcve.org/view.php?id=CVE-2012-3382
Cross-site scripting (XSS) vulnerability in the ProcessRequest function in mcs/class/System.Web/System.Web/HttpForbiddenHandler.cs in Mono 2.10.8 and earlier allows remote attackers to inject arbitrary web script or HTML via a file with a crafted name and a forbidden extension, which is not properly handled in an error message. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la función ProcessRequest en mcs/class/System.Web/System.web/HttpForbiddenHandler.cs en Mono v2.10.8 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un archivo con un nombre modificado y una extensión prohibida, que no es correctamente manipulado en un mensaje de error. • http://www.mandriva.com/security/advisories?name=MDVSA-2012:140 http://www.openwall.com/lists/oss-security/2012/07/06/11 https://bugzilla.novell.com/show_bug.cgi?id=769799 https://github.com/mono/mono/commit/d16d4623edb210635bec3ca3786481b82cde25a2 https://hermes.opensuse.org/messages/15374367 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2010-4225
https://notcve.org/view.php?id=CVE-2010-4225
Unspecified vulnerability in the mod_mono module for XSP in Mono 2.8.x before 2.8.2 allows remote attackers to obtain the source code for .aspx (ASP.NET) applications via unknown vectors related to an "unloading bug." Vulnerabilidad no especificada en el módulo mod_mono para XSP en Mono v2.8.x anterior a v2.8.2, permite a atacantes remotos obtener el código fuente de aplicaciones .aspx (ASP.NET) a través de vectores desconocidos relacionados con un "error de descarga". • http://osvdb.org/70312 http://secunia.com/advisories/42842 http://www.mono-project.com/Vulnerabilities#XSP.2Fmod_mono_source_code_disclosure http://www.securityfocus.com/bid/45711 http://www.vupen.com/english/advisories/2011/0051 https://exchange.xforce.ibmcloud.com/vulnerabilities/64532 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •