CVSS: 4.3EPSS: 0%CPEs: 27EXPL: 0CVE-2012-3499 – httpd: multiple XSS flaws due to unescaped hostnames
https://notcve.org/view.php?id=CVE-2012-3499
Multiple cross-site scripting (XSS) vulnerabilities in the Apache HTTP Server 2.2.x before 2.2.24-dev and 2.4.x before 2.4.4 allow remote attackers to inject arbitrary web script or HTML via vectors involving hostnames and URIs in the (1) mod_imagemap, (2) mod_info, (3) mod_ldap, (4) mod_proxy_ftp, and (5) mod_status modules. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Apache HTTP Server v2.2.x antes de v2.2.24-dev y v2.4.x antes de v2.4.4 que permite ataques remotos de inyección de web script o HTML por vectores relacionados con los nombres de host y URIs en el (1) mod_imagemap, (2) mod_info, (3) mod_ldap, (4) mod_proxy_ftp, y (5) módulos mod_status. • http://httpd.apache.org/security/vulnerabilities_22.html http://httpd.apache.org/security/vulnerabilities_24.html http://lists.apple.com/archives/security-announce/2013/Sep/msg00002.html http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101196.html http://marc.info/?l=bugtraq&m=136612293908376&w=2 http://rhn.redhat.com/errata/RHSA-2013-0815.html http://rhn.redhat.com/errata/RHSA-2013-1207.html http://rhn.redhat.com/errata/RHSA-2013-1208.html http://rhn.redhat • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 21%CPEs: 27EXPL: 0CVE-2012-4558 – httpd: XSS flaw in mod_proxy_balancer manager interface
https://notcve.org/view.php?id=CVE-2012-4558
Multiple cross-site scripting (XSS) vulnerabilities in the balancer_handler function in the manager interface in mod_proxy_balancer.c in the mod_proxy_balancer module in the Apache HTTP Server 2.2.x before 2.2.24-dev and 2.4.x before 2.4.4 allow remote attackers to inject arbitrary web script or HTML via a crafted string. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función balancer_handler en la interfaz de gestión mod_proxy_balancer.c en el módulo mod_proxy_blanacer de Apache HTTP Server v2.2.x antes de v2.2.24-dev y v2.4.x antes de v2.4.4 que permite ataques remotos de inyección web script p HTML por cadenas hechas a mano. • http://httpd.apache.org/security/vulnerabilities_22.html http://httpd.apache.org/security/vulnerabilities_24.html http://lists.apple.com/archives/security-announce/2013/Sep/msg00002.html http://lists.fedoraproject.org/pipermail/package-announce/2013-April/101196.html http://marc.info/?l=bugtraq&m=136612293908376&w=2 http://rhn.redhat.com/errata/RHSA-2013-0815.html http://rhn.redhat.com/errata/RHSA-2013-1207.html http://rhn.redhat.com/errata/RHSA-2013-1208.html http://rhn.redhat • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2012-3502
https://notcve.org/view.php?id=CVE-2012-3502
The proxy functionality in (1) mod_proxy_ajp.c in the mod_proxy_ajp module and (2) mod_proxy_http.c in the mod_proxy_http module in the Apache HTTP Server 2.4.x before 2.4.3 does not properly determine the situations that require closing a back-end connection, which allows remote attackers to obtain sensitive information in opportunistic circumstances by reading a response that was intended for a different client. La funcionalidad proxy en (1) mod_proxy_ajp.c en el módulo mod_proxy_ajp y (2) mod_proxy_http.c en el módulo mod_proxy_http en Apache HTTP Server v2.4.x anteriores a v2.4.3 no determinad de forma adecuada las situaciones que requieren cerrar una conexión del Back-end, lo que permite a atacantes remotos obtener información sensible en circunstancias ventajosas leyendo la respuesta que fue establecida para distintos clientes. • http://httpd.apache.org/security/vulnerabilities_24.html http://mail-archives.apache.org/mod_mbox/www-announce/201208.mbox/%3C0BFFEA9B-801B-4BAA-9534-56F640268E30%40apache.org%3E http://www.apache.org/dist/httpd/CHANGES_2.4.3 http://www.securityfocus.com/bid/55131 https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e80293cde02fcd65286ba%40%3Ccvs.httpd.apache.org%3E https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277e100450209231830%40%3Ccvs.httpd.apache.org%3E https://lists.ap • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 2.6EPSS: 0%CPEs: 25EXPL: 0CVE-2012-2687 – httpd: mod_negotiation XSS via untrusted file names in directories with MultiViews enabled
https://notcve.org/view.php?id=CVE-2012-2687
Multiple cross-site scripting (XSS) vulnerabilities in the make_variant_list function in mod_negotiation.c in the mod_negotiation module in the Apache HTTP Server 2.4.x before 2.4.3, when the MultiViews option is enabled, allow remote attackers to inject arbitrary web script or HTML via a crafted filename that is not properly handled during construction of a variant list. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función make_variant_list en mod_negotiation.c en el módulo mod_negotiation en Apache HTTP Server v2.4.x anteriores a v2.4.3, cuando la opción MultiViews esta activada, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través un nombre de fichero manipulado que no es manejado de forma adecuada mientras se construye una lista de variantes. • http://httpd.apache.org/security/vulnerabilities_24.html http://lists.apple.com/archives/security-announce/2013/Sep/msg00002.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00009.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00011.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00012.html http://mail-archives.apache.org/mod_mbox/www-announce/201208.mbox/%3C0BFFEA9B-801B-4BAA-9534-56F640268E30%40apache.org%3E http://marc.info/?l=bugtraq&m=136612293908376&w=2& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.9EPSS: 0%CPEs: 4EXPL: 0CVE-2012-0883 – httpd: insecure handling of LD_LIBRARY_PATH in envvars
https://notcve.org/view.php?id=CVE-2012-0883
envvars (aka envvars-std) in the Apache HTTP Server before 2.4.2 places a zero-length directory name in the LD_LIBRARY_PATH, which allows local users to gain privileges via a Trojan horse DSO in the current working directory during execution of apachectl. envvars (también conocido como envvars-STD) en el servidor HTTP Apache antes de 2.4.2 establece un nombre de directorio de longitud cero en el LD_LIBRARY_PATH, que permite a usuarios locales conseguir privilegios a través de un caballo de Troya DSO en el directorio actual de trabajo durante la ejecución de apachectl. • http://article.gmane.org/gmane.comp.apache.devel/48158 http://lists.apple.com/archives/security-announce/2013/Sep/msg00002.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00009.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00012.html http://marc.info/?l=bugtraq&m=134012830914727&w=2 http://secunia.com/advisories/48849 http://support.apple.com/kb/HT5880 http://svn.apache.org/viewvc?view=revision&revision=1296428 http://www.apache.org/dist/httpd/Announcement •