CVSS: 5.0EPSS: 0%CPEs: 123EXPL: 0CVE-2011-4687
https://notcve.org/view.php?id=CVE-2011-4687
Opera before 11.60 allows remote attackers to cause a denial of service (CPU and memory consumption) via unspecified content on a web page, as demonstrated by a page under the cisco.com home page. Opera antes v11.60 permite a atacantes remotos provocar una denegación de servicio (CPU y consumo de memoria) a través de contenido no especificado en una página web, como se demuestra con una página en la página de inicio cisco.com. • http://www.opera.com/docs/changelogs/mac/1160 http://www.opera.com/docs/changelogs/unix/1160 http://www.opera.com/docs/changelogs/windows/1160 • CWE-399: Resource Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 123EXPL: 0CVE-2011-4681
https://notcve.org/view.php?id=CVE-2011-4681
Opera before 11.60 does not properly consider the number of . (dot) characters that conventionally exist in domain names of different top-level domains, which allows remote attackers to bypass the Same Origin Policy by leveraging access to a different domain name in the same top-level domain, as demonstrated by the .no or .uk domain. Opera antes de 11.60 no tiene en cuenta debidamenteel número de caracteres . (punto) que tradicionalmente existen en los nombres de dominio de los diferentes dominios de nivel superior, lo que permite a atacantes remotos evitar la política del mismo origen, aprovechando el acceso a un nombre de dominio diferente en el mismo dominio de nivel superior, como se demuestra con los dominios .no o .uk. • http://www.opera.com/docs/changelogs/mac/1160 http://www.opera.com/docs/changelogs/unix/1160 http://www.opera.com/docs/changelogs/windows/1160 http://www.opera.com/support/kb/view/1003 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 120EXPL: 0CVE-2011-3388
https://notcve.org/view.php?id=CVE-2011-3388
Opera before 11.51 allows remote attackers to cause an insecure site to appear secure or trusted via unspecified actions related to Extended Validation and loading content from trusted sources in an unspecified sequence that causes the address field and page information dialog to contain security information based on the trusted site, instead of the insecure site. Opera antes de v11.51 permite a atacantes remotos provocar un sitio inseguro que ser seguro o de confianza a través de acciones no especificadas relacionadas con la validación extendida (EV) y la carga de contenidos desde fuentes de confianza en una secuencia no especificada que hace que el campo de dirección y el cuadro de diálogo de información de la página contengan información de seguridad del sitio de confianza, en vez del sitio inseguro. • http://osvdb.org/74828 http://secunia.com/advisories/45791 http://www.opera.com/docs/changelogs/mac/1151 http://www.opera.com/docs/changelogs/unix/1151 http://www.opera.com/docs/changelogs/windows/1151 http://www.opera.com/support/kb/view/1000 http://www.securityfocus.com/bid/49388 http://www.securitytracker.com/id?1025997 https://exchange.xforce.ibmcloud.com/vulnerabilities/69515 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 0CVE-2011-3389 – HTTPS: block-wise chosen-plaintext attack against SSL/TLS (BEAST)
https://notcve.org/view.php?id=CVE-2011-3389
The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack (BCBA) on an HTTPS session, in conjunction with JavaScript code that uses (1) the HTML5 WebSocket API, (2) the Java URLConnection API, or (3) the Silverlight WebClient API, aka a "BEAST" attack. El protocolo SSL, como se utiliza en ciertas configuraciones en Microsoft Windows y Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera y otros productos, cifra los datos mediante el uso del modo CBC con vectores de inicialización encadenados, lo que permite a atacantes man-in-the-middle obtener cabeceras HTTP en texto plano a través de un ataque blockwise chosen-boundary (BCBA) en una sesión HTTPS, junto con el código de JavaScript que usa (1) la API WebSocket HTML5, (2) la API Java URLConnection o (3) la API Silverlight WebClient, también conocido como un ataque "BEAST". • http://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications http://blogs.technet.com/b/msrc/archive/2011/09/26/microsoft-releases-security-advisory-2588513.aspx http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx http://curl.haxx.se/docs/adv_20120124B.html http://downloads.asterisk.org/pub/security/AST-2016-001.html http://ekoparty.org/2011/juliano-rizzo.php http://eprint.iacr.org/2004/111 http:&# • CWE-326: Inadequate Encryption Strength •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2008-7297
https://notcve.org/view.php?id=CVE-2008-7297
Opera cannot properly restrict modifications to cookies established in HTTPS sessions, which allows man-in-the-middle attackers to overwrite or delete arbitrary cookies via a Set-Cookie header in an HTTP response, related to lack of the HTTP Strict Transport Security (HSTS) includeSubDomains feature, aka a "cookie forcing" issue. Opera no restringe apropiadamente las modificaciones a las cookies establecidas en las sesiones HTTPS, lo que facilita a atacantes "man-in-the-middle" sobreescribir o borrar cookies arbitrarias a través de una cabecera Set-Cookie en una respuesta HTTP, relacionado con una fallo en la funcionalidad HTTP Strict Transport Security (HSTS) includeSubDomains. También conocido como un problema "cookie forcing". • http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies http://michael-coates.blogspot.com/2010/01/cookie-forcing-trust-your-cookies-no.html http://scarybeastsecurity.blogspot.com/2008/11/cookie-forcing.html http://scarybeastsecurity.blogspot.com/2011/02/some-less-obvious-benefits-of-hsts.html https://bugzilla.mozilla.org/show_bug.cgi?id=660053 • CWE-264: Permissions, Privileges, and Access Controls •