CVE-2006-5859
https://notcve.org/view.php?id=CVE-2006-5859
Cross-site scripting (XSS) vulnerability in Adobe ColdFusion MX 7 7.0 and 7.0.1, when Global Script Protection is not enabled, allows remote attackers to inject arbitrary HTML and web script via unknown vectors, possibly related to Linkdirect.cfm, Topnav.cfm, and Welcomedoc.cfm. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Adobe ColdFusion MX 7 7.0 y 7.0.1, cuando la Protección Global de Secuencias de Comandos no está habilitada, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección mediante vectores no especificados, posiblemente relacionados con Linkdirect.cfm, Topnav.cfm, y Welcomedoc.cfm. • http://osvdb.org/32121 http://secunia.com/advisories/24115 http://www.adobe.com/support/security/bulletins/apsb07-03.html http://www.securityfocus.com/bid/22544 http://www.securitytracker.com/id?1017644 http://www.vupen.com/english/advisories/2007/0592 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2007-0817 – Adobe ColdFusion 6/7 - User_Agent Error Page Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2007-0817
Cross-site scripting (XSS) vulnerability in Adobe ColdFusion web server allows remote attackers to inject arbitrary HTML or web script via the User-Agent HTTP header, which is not sanitized before being displayed in an error page. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Adobe ColdFusion web server permite a atacantes remotos inyectar scripts web o HTML de su elección mediante la cabecera HTTP User-Agent, que no se ha saneado previamente a ser mostrada en una página de error. • https://www.exploit-db.com/exploits/29567 http://osvdb.org/32120 http://secunia.com/advisories/24115 http://www.adobe.com/support/security/bulletins/apsb07-04.html http://www.securityfocus.com/archive/1/459178/100/0/threaded http://www.securityfocus.com/bid/22401 http://www.securitytracker.com/id?1017645 http://www.vupen.com/english/advisories/2007/0593 •
CVE-2006-5858
https://notcve.org/view.php?id=CVE-2006-5858
Adobe ColdFusion MX 7 through 7.0.2, and JRun 4, when run on Microsoft IIS, allows remote attackers to read arbitrary files, list directories, or read source code via a double URL-encoded NULL byte in a ColdFusion filename, such as a CFM file. Adobe ColdFusion MX 7 hasta 7.0.2, y JRun 4, cuando se ejecuta en Microsoft IIS, permite a atacantes remotos leer archivos de su elección, listar directorios, o leer código fuente mediante un byte nulo (NULL) con doble codificación URL en un nombre de archivo ColdFusion, por ejemplo un archivo CFM. • http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=466 http://osvdb.org/32123 http://secunia.com/advisories/23668 http://securitytracker.com/id?1017490 http://www.adobe.com/support/security/bulletins/apsb07-02.html http://www.securityfocus.com/archive/1/457799/100/0/threaded http://www.securityfocus.com/bid/21978 http://www.vupen.com/english/advisories/2007/0116 https://exchange.xforce.ibmcloud.com/vulnerabilities/31411 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2006-6482
https://notcve.org/view.php?id=CVE-2006-6482
Adobe ColdFusion MX7 allows remote attackers to obtain sensitive information via a URL request (1) for a non-existent (a) JWS, (b) CFM, (c) CFML, or (d) CFC file, which displays the installation path in the resulting error message; or (2) to /CFIDE/administrator/login.cfm without a host, which can reveal the server's internal IP address in an HREF tag. Adobe ColdFusion MX7 permite a atacantes remotos la obtención de información sensible a través de una petición vía mediante una URL (1) un fichero no existente (a) JWS, (b) CFM, (c) CFML o (d) CFC, que muestra la ruta de instalación en un mensaje de error, o en el(2) /CFIDE/administrator/login.cfm sin un host, que puede mostrar la dirección IP interna del servidor en una etiqueta HREF. • http://secunia.com/advisories/23281 http://securityreason.com/securityalert/2021 http://securitytracker.com/id?1017361 http://www.securityfocus.com/archive/1/454046/100/0/threaded http://www.securityfocus.com/bid/21532 http://www.vupen.com/english/advisories/2006/4949 https://exchange.xforce.ibmcloud.com/vulnerabilities/30839 https://exchange.xforce.ibmcloud.com/vulnerabilities/30840 •
CVE-2006-6483
https://notcve.org/view.php?id=CVE-2006-6483
Adobe ColdFusion MX 7.x before 7.0.2 does not properly filter HTML tags when protecting against cross-site scripting (XSS) attacks, which allows remote attackers to inject arbitrary web script or HTML via a NULL byte (%00) in certain HTML tags, as demonstrated using "%00script" in a tag. Adobe ColdFusion MX7 no filtra correctamente etiquetas HTML cuando se está protegiendo contra ataques mediante secuencias de comandos en sitios cruzados (XSS), permitiendo a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección mediante un byte NULL (%00) en determinadas etiquetas HTML, como lo demostrado utilizando "%00script" en una etiqueta. • http://secunia.com/advisories/23281 http://securityreason.com/securityalert/2021 http://securitytracker.com/id?1017361 http://www.adobe.com/support/security/bulletins/apsb07-06.html http://www.securityfocus.com/archive/1/454046/100/0/threaded http://www.securityfocus.com/bid/21532 http://www.vupen.com/english/advisories/2006/4949 https://exchange.xforce.ibmcloud.com/vulnerabilities/30841 •