CVSS: 4.3EPSS: 0%CPEs: 120EXPL: 0CVE-2011-3388
https://notcve.org/view.php?id=CVE-2011-3388
Opera before 11.51 allows remote attackers to cause an insecure site to appear secure or trusted via unspecified actions related to Extended Validation and loading content from trusted sources in an unspecified sequence that causes the address field and page information dialog to contain security information based on the trusted site, instead of the insecure site. Opera antes de v11.51 permite a atacantes remotos provocar un sitio inseguro que ser seguro o de confianza a través de acciones no especificadas relacionadas con la validación extendida (EV) y la carga de contenidos desde fuentes de confianza en una secuencia no especificada que hace que el campo de dirección y el cuadro de diálogo de información de la página contengan información de seguridad del sitio de confianza, en vez del sitio inseguro. • http://osvdb.org/74828 http://secunia.com/advisories/45791 http://www.opera.com/docs/changelogs/mac/1151 http://www.opera.com/docs/changelogs/unix/1151 http://www.opera.com/docs/changelogs/windows/1151 http://www.opera.com/support/kb/view/1000 http://www.securityfocus.com/bid/49388 http://www.securitytracker.com/id?1025997 https://exchange.xforce.ibmcloud.com/vulnerabilities/69515 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 0CVE-2011-3389 – HTTPS: block-wise chosen-plaintext attack against SSL/TLS (BEAST)
https://notcve.org/view.php?id=CVE-2011-3389
The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack (BCBA) on an HTTPS session, in conjunction with JavaScript code that uses (1) the HTML5 WebSocket API, (2) the Java URLConnection API, or (3) the Silverlight WebClient API, aka a "BEAST" attack. El protocolo SSL, como se utiliza en ciertas configuraciones en Microsoft Windows y Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera y otros productos, cifra los datos mediante el uso del modo CBC con vectores de inicialización encadenados, lo que permite a atacantes man-in-the-middle obtener cabeceras HTTP en texto plano a través de un ataque blockwise chosen-boundary (BCBA) en una sesión HTTPS, junto con el código de JavaScript que usa (1) la API WebSocket HTML5, (2) la API Java URLConnection o (3) la API Silverlight WebClient, también conocido como un ataque "BEAST". • http://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications http://blogs.technet.com/b/msrc/archive/2011/09/26/microsoft-releases-security-advisory-2588513.aspx http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx http://curl.haxx.se/docs/adv_20120124B.html http://downloads.asterisk.org/pub/security/AST-2016-001.html http://ekoparty.org/2011/juliano-rizzo.php http://eprint.iacr.org/2004/111 http:&# • CWE-326: Inadequate Encryption Strength •
CVSS: 5.8EPSS: 0%CPEs: 1EXPL: 0CVE-2008-7297
https://notcve.org/view.php?id=CVE-2008-7297
Opera cannot properly restrict modifications to cookies established in HTTPS sessions, which allows man-in-the-middle attackers to overwrite or delete arbitrary cookies via a Set-Cookie header in an HTTP response, related to lack of the HTTP Strict Transport Security (HSTS) includeSubDomains feature, aka a "cookie forcing" issue. Opera no restringe apropiadamente las modificaciones a las cookies establecidas en las sesiones HTTPS, lo que facilita a atacantes "man-in-the-middle" sobreescribir o borrar cookies arbitrarias a través de una cabecera Set-Cookie en una respuesta HTTP, relacionado con una fallo en la funcionalidad HTTP Strict Transport Security (HSTS) includeSubDomains. También conocido como un problema "cookie forcing". • http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies http://michael-coates.blogspot.com/2010/01/cookie-forcing-trust-your-cookies-no.html http://scarybeastsecurity.blogspot.com/2008/11/cookie-forcing.html http://scarybeastsecurity.blogspot.com/2011/02/some-less-obvious-benefits-of-hsts.html https://bugzilla.mozilla.org/show_bug.cgi?id=660053 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 3%CPEs: 121EXPL: 0CVE-2011-1337
https://notcve.org/view.php?id=CVE-2011-1337
Opera before 11.50 allows remote attackers to cause a denial of service (disk consumption) via invalid URLs that trigger creation of error pages. Opera anterior a v11.50 permite a atacantes remotos causar una denegación de servicio (consumo de disco) a través de direcciones URL no válidas que desencadenan la creación de páginas de error. • http://jvn.jp/en/jp/JVN47757122/index.html http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000049.html http://secunia.com/advisories/45060 http://www.opera.com/docs/changelogs/mac/1150 http://www.opera.com/docs/changelogs/unix/1150 http://www.opera.com/docs/changelogs/windows/1150 http://www.opera.com/support/kb/view/996 http://www.osvdb.org/73486 http://www.securityfocus.com/bid/48501 https://exchange.xforce.ibmcloud.com/vulnerabilities/68323 • CWE-399: Resource Management Errors •
CVSS: 10.0EPSS: 0%CPEs: 121EXPL: 0CVE-2011-2610
https://notcve.org/view.php?id=CVE-2011-2610
Unspecified vulnerability in Opera before 11.50 has unknown impact and attack vectors, related to a "moderately severe issue." Vulnerabilidad no especificada en Opera anterior a v11.50 tiene un impacto y vectores de ataque desconocidos, en relación con un "problema de gravedad moderada". • http://www.opera.com/docs/changelogs/mac/1150 http://www.opera.com/docs/changelogs/unix/1150 http://www.opera.com/docs/changelogs/windows/1150 http://www.securityfocus.com/bid/48568 •