CVE-2012-1896
https://notcve.org/view.php?id=CVE-2012-1896
Microsoft .NET Framework 2.0 SP2 and 3.5.1 does not properly consider trust levels during construction of output data, which allows remote attackers to obtain sensitive information via (1) a crafted XAML browser application (aka XBAP) or (2) a crafted .NET Framework application, aka "Code Access Security Info Disclosure Vulnerability." Microsoft .NET Framework 2.0 SP2 y v3.5.1 no consideran de forma adecuada los niveles de seguridad durante la construccion de los datos de salida, lo que permite a atacantes remotos para obtener información sensible a través de (1) una aplicación manipulada para un navegador XAML (tambíen conocido como XBAP) o (2) una aplicación .NET Framework manipulada, tambíen conocido como "Code Access Security Info Disclosure Vulnerability." • http://secunia.com/advisories/51236 http://www.securityfocus.com/bid/56456 http://www.securitytracker.com/id?1027753 http://www.us-cert.gov/cas/techalerts/TA12-318A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-074 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15785 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2012-4777
https://notcve.org/view.php?id=CVE-2012-4777
The code-optimization feature in the reflection implementation in Microsoft .NET Framework 4 and 4.5 does not properly enforce object permissions, which allows remote attackers to execute arbitrary code via (1) a crafted XAML browser application (aka XBAP) or (2) a crafted .NET Framework application, aka "WPF Reflection Optimization Vulnerability." La funcionalidad de optimización del código en la implementación de reflection en Microsoft .NET Framework v4 y v4.5 no aplica correctamente los permisos de los objetos, lo que permite a atacantes remotos ejecutar código de su elección a través de (1) una aplicación de explorador XAML modificada (también conocida como XBAP) o (2) una aplicación .NET Framework modificada. Se trata de un problema también conocido como "reflexión WPF vulnerabilidad Optimization". • http://osvdb.org/87267 http://secunia.com/advisories/51236 http://www.securityfocus.com/bid/56464 http://www.securitytracker.com/id?1027753 http://www.us-cert.gov/cas/techalerts/TA12-318A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-074 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15960 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2012-4776
https://notcve.org/view.php?id=CVE-2012-4776
The Web Proxy Auto-Discovery (WPAD) functionality in Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4, and 4.5 does not validate configuration data that is returned during acquisition of proxy settings, which allows remote attackers to execute arbitrary JavaScript code by providing crafted data during execution of (1) an XAML browser application (aka XBAP) or (2) a .NET Framework application, aka "Web Proxy Auto-Discovery Vulnerability." La funcionalidad Web Proxy Auto-Discovery (WPAD) de Microsoft .NET Framework v2.0 SP2, v3.5, v3.5.1, v4 y v4.5 no valida los datos de configuración que se devuelven durante la adquisición de la configuración del proxy, lo que permite a atacantes remotos ejecutar código JavaScript proporcionando datos modificados durante la ejecución de (1) una aplicación de explorador XAML (tambien conocido como XBAP) o (2) una aplicación .NET Framework. Se trata de un problema también conocido como "Web Proxy Auto-Discovery vulnerabilidad". • http://osvdb.org/87266 http://secunia.com/advisories/51236 http://www.securityfocus.com/bid/56463 http://www.securitytracker.com/id?1027753 http://www.us-cert.gov/cas/techalerts/TA12-318A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-074 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15810 • CWE-20: Improper Input Validation •
CVE-2012-1895
https://notcve.org/view.php?id=CVE-2012-1895
The reflection implementation in Microsoft .NET Framework 1.0 SP3, 1.1 SP1, 2.0 SP2, 3.5.1, and 4 does not properly enforce object permissions, which allows remote attackers to execute arbitrary code via (1) a crafted XAML browser application (aka XBAP) or (2) a crafted .NET Framework application, aka "Reflection Bypass Vulnerability." La implementación de "reflaction" en Microsoft .NET Framework 1.0 SP3, 1.1 SP1, 2.0 SP2, v3.5.1, y v4 no refuerza los permisos de objetos de forma adecuada, lo que permite a atacantes remotos a ejecutar código a través de (1) una aplicación XAML para el navegador (también conocido como XBAP) o (2) una aplicación .NET Framework, también conocido como "Reflection Bypass Vulnerability." • http://secunia.com/advisories/51236 http://www.securitytracker.com/id?1027753 http://www.us-cert.gov/cas/techalerts/TA12-318A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-074 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A15924 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2012-1855 – Microsoft .NET Framework Clipboard Unsafe Memory Access Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2012-1855
Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4, and 4.5 does not properly handle function pointers, which allows remote attackers to execute arbitrary code via (1) a crafted XAML browser application (aka XBAP) or (2) a crafted .NET Framework application, aka ".NET Framework Memory Access Vulnerability." Microsoft .NET Framework v2.0 SP2, v3.5, v3.5.1, v4, y v4.5 no maneja adecuadamente los punteros de función, lo que permite a atacantes remotos ejecutar código arbitrario a través de (1) una aplicación navegador XAML modificada (también conocida como XBAP) o (2) una aplicación basada en el framework .NET modificada, también conocida como "vulnerabilidad .NET Framework de acceso de memoria". This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of the .NET Framework. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The flaw exists within Microsoft .NET XAML Browser Application (XBAP) handling of Clipboard object data. It is possible to cause unsafe memory access within System.Windows.Forms.Clipboard, allowing an attacker to control the memory used by an object's native code. • http://www.us-cert.gov/cas/techalerts/TA12-164A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-038 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14717 • CWE-94: Improper Control of Generation of Code ('Code Injection') •