CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 0CVE-2015-4334
https://notcve.org/view.php?id=CVE-2015-4334
The default configuration of SGOS in Blue Coat ProxySG before 6.2.16.5, 6.5 before 6.5.7.1, and 6.6 before 6.6.2.1 forwards authentication challenges from upstream origin content servers (OCS) when used in an explicit proxy deployment, which makes it easier for remote attackers to obtain sensitive information via a 407 (aka Proxy Authentication Required) HTTP status code, as demonstrated when using NTLM authentication. La configuración por defecto de SGOS en Blue Coat ProxySG en versiones anteriores a 6.2.16.5, 6.5 en versiones anteriores a 6.5.7.1 y 6.6 en versiones anteriores a 6.6.2.1 reenvía retos de autenticación desde los servidores de contenido de origen (OCS) de subida cuando se usa en el despliegue de un proxy explícito, lo que hace más fácil para atacantes remotos obtener información sensible a través de un código de estado HTTP 407 (también conocido como Proxy Authentication Required), según lo demostrado cuando se utiliza autenticación NTLM. • http://www.securitytracker.com/id/1032149 https://bto.bluecoat.com/security-advisory/sa93 https://twitter.com/bugch3ck/status/591492380294979585 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2007-5796 – Blue Coat ProxySG Management Console - URI Handler Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2007-5796
Cross-site scripting (XSS) vulnerability in the management console in Blue Coat ProxySG before 4.2.6.1, and 5.x before 5.2.2.5, allows remote attackers to inject arbitrary web script or HTML by modifying the URL that is used for loading Certificate Revocation Lists. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en la consola de administración del Blue Coat ProxySG anterior al 4.2.6.1, y el 5.x anterior al 5.2.2.5, permite a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección mediante la modificación de la URL que se usa para la carga de las Listas de Certificados Revocados ("Certificate Revocation Lists"). • https://www.exploit-db.com/exploits/30729 http://secunia.com/advisories/27452 http://www.bluecoat.com/support/securityadvisories/advisory_cross-site_scripting_vulnerability http://www.securitytracker.com/id?1018888 http://www.vupen.com/english/advisories/2007/3678 https://exchange.xforce.ibmcloud.com/vulnerabilities/38213 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •