5 results (0.011 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

The TLS stack in Mono before 3.12.1 makes it easier for remote attackers to conduct cipher-downgrade attacks to EXPORT_RSA ciphers via crafted TLS traffic, related to the "FREAK" issue, a different vulnerability than CVE-2015-0204. La pila TLS en Mono en versiones anteriores a la 3.12.1 hace que sea más fácil para los atacantes remotos realizar ataques de degradación de cifrado para los cifrados EXPORT_RSA a través de tráfico TLS manipulado. Esta vulnerabilidad está relacionada con el problema "FREAK", una vulnerabilidad diferente de CVE-2015-0204. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73250 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/9c38772f094168d8bfd5bc73bf8925cd04faad10 https://mitls.org/pages/attacks/SMACK#freak https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •

CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0

The TLS stack in Mono before 3.12.1 allows man-in-the-middle attackers to conduct message skipping attacks and consequently impersonate clients by leveraging missing handshake state validation, aka a "SMACK SKIP-TLS" issue. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes Man-in-the-Middle (MitM) realicen ataques de salto de mensajes y que puedan suplantar clientes aprovechándose de la falta de validación del estado de los "handshakes". Esta vulnerabilidad también se conoce como "SMACK SKIP-TLS". • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73253 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/1509226c41d74194c146deb173e752b8d3cdeec4 https://mitls.org/pages/attacks/SMACK#skip https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •

CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0

The TLS stack in Mono before 3.12.1 allows remote attackers to have unspecified impact via vectors related to client-side SSLv2 fallback. La pila TLS en Mono en versiones anteriores a la 3.12.1 permite que los atacantes remotos provoquen un impacto sin especificar mediante vectores relacionados con el fallback SSLv2 del lado del cliente. • http://www.mono-project.com/news/2015/03/07/mono-tls-vulnerability http://www.openwall.com/lists/oss-security/2015/03/17/9 http://www.securityfocus.com/bid/73256 http://www.ubuntu.com/usn/USN-2547-1 https://bugzilla.redhat.com/show_bug.cgi?id=1202869 https://github.com/mono/mono/commit/b371da6b2d68b4cdd0f21d6342af6c42794f998b https://www.debian.org/security/2015/dsa-3202 • CWE-295: Improper Certificate Validation •

CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 1

mono 2.10.x ASP.NET Web Form Hash collision DoS mono versión 2.10.x, ASP.NET Web Form realiza un Hash de una DoS de colisión. • http://www.openwall.com/lists/oss-security/2012/08/28/14 http://www.securityfocus.com/bid/55251 http://www.ubuntu.com/usn/USN-2547-1 https://access.redhat.com/security/cve/cve-2012-3543 https://bugs.gentoo.org/show_bug.cgi?id=CVE-2012-3543 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-3543 https://bugzilla.suse.com/show_bug.cgi?id=CVE-2012-3543 https://security-tracker.debian.org/tracker/CVE-2012-3543 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1

Cross-site scripting (XSS) vulnerability in the ProcessRequest function in mcs/class/System.Web/System.Web/HttpForbiddenHandler.cs in Mono 2.10.8 and earlier allows remote attackers to inject arbitrary web script or HTML via a file with a crafted name and a forbidden extension, which is not properly handled in an error message. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la función ProcessRequest en mcs/class/System.Web/System.web/HttpForbiddenHandler.cs en Mono v2.10.8 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un archivo con un nombre modificado y una extensión prohibida, que no es correctamente manipulado en un mensaje de error. • http://www.mandriva.com/security/advisories?name=MDVSA-2012:140 http://www.openwall.com/lists/oss-security/2012/07/06/11 https://bugzilla.novell.com/show_bug.cgi?id=769799 https://github.com/mono/mono/commit/d16d4623edb210635bec3ca3786481b82cde25a2 https://hermes.opensuse.org/messages/15374367 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •