CVSS: 5.0EPSS: 7%CPEs: 10EXPL: 1CVE-2012-4557 – httpd: mod_proxy_ajp worker moved to error state when timeout exceeded
https://notcve.org/view.php?id=CVE-2012-4557
The mod_proxy_ajp module in the Apache HTTP Server 2.2.12 through 2.2.21 places a worker node into an error state upon detection of a long request-processing time, which allows remote attackers to cause a denial of service (worker consumption) via an expensive request. El módulo mod_proxy_ajp en el Servidor HTTP Apache v2.2.12 por v2.2.21 coloca un nodo de trabajo en un estado de error ante la detección de un tiempo de procesamiento de solicitudes demasiado elevado, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de nodos de trabajo) a través de un solicitud compleja. • http://httpd.apache.org/security/vulnerabilities_22.html#2.2.22 http://lists.opensuse.org/opensuse-updates/2013-02/msg00009.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00012.html http://marc.info/?l=bugtraq&m=136612293908376&w=2 http://svn.apache.org/viewvc?view=revision&revision=1227298 http://www.debian.org/security/2012/dsa-2579 https://bugzilla.redhat.com/show_bug.cgi?id=871685 https://lists.apache.org/thread.html/8d63cb8e9100f28a99429b4328e4e7cebce861d5772ac9863ba2ae6f%40%3Ccvs&# • CWE-399: Resource Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4001
https://notcve.org/view.php?id=CVE-2012-4001
The mod_pagespeed module before 0.10.22.6 for the Apache HTTP Server does not properly verify its host name, which allows remote attackers to trigger HTTP requests to arbitrary hosts via unspecified vectors, as demonstrated by requests to intranet servers. El módulo mod_pagespeed anterior a v0.10.22.6 para Apache HTTP Server no verifica de forma adecuada su nombre de host, lo que permite a atacantes remotos provocar peticiones HTTP a cualquier hosts, a través de vectores no especificados, como lo demuestran las peticiones a los servidores de la intranet. • https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4001 https://developers.google.com/speed/docs/mod_pagespeed/announce-0.10.22.6 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2012-4360
https://notcve.org/view.php?id=CVE-2012-4360
Cross-site scripting (XSS) vulnerability in the mod_pagespeed module 0.10.19.1 through 0.10.22.4 for the Apache HTTP Server allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo mod_pagespeed v0.10.19.1 hasta v0.10.22.4 para Apache HTTP Server permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro NOTA: Algunos de estos detalles se han obtenidos de terceros. • http://osvdb.org/85430 https://developers.google.com/speed/docs/mod_pagespeed/CVE-2012-4360 https://developers.google.com/speed/docs/mod_pagespeed/announce-0.10.22.6 https://exchange.xforce.ibmcloud.com/vulnerabilities/78563 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 3%CPEs: 3EXPL: 0CVE-2012-3526
https://notcve.org/view.php?id=CVE-2012-3526
The reverse proxy add forward module (mod_rpaf) 0.5 and 0.6 for the Apache HTTP Server allows remote attackers to cause a denial of service (server or application crash) via multiple X-Forwarded-For headers in a request. El proxy inverso agrega módulos (mod_rpaf) 0.5 y 0.6 para el Servidor Apache HTTP permite a atacantes remotos provocar una denegación de servicio (servidor o bloqueo de la aplicación) a través de múltiples X-Forwarded-For cabeceras de una petición. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=683984 http://secunia.com/advisories/50400 http://www.debian.org/security/2012/dsa-2532 http://www.openwall.com/lists/oss-security/2012/08/22/2 http://www.openwall.com/lists/oss-security/2012/08/22/7 http://www.securityfocus.com/bid/55154 http://zecrazytux.net/troubleshooting/apache2-segfault-debugging-tutorial https://exchange.xforce.ibmcloud.com/vulnerabilities/77987 •
CVSS: 2.6EPSS: 0%CPEs: 25EXPL: 0CVE-2012-2687 – httpd: mod_negotiation XSS via untrusted file names in directories with MultiViews enabled
https://notcve.org/view.php?id=CVE-2012-2687
Multiple cross-site scripting (XSS) vulnerabilities in the make_variant_list function in mod_negotiation.c in the mod_negotiation module in the Apache HTTP Server 2.4.x before 2.4.3, when the MultiViews option is enabled, allow remote attackers to inject arbitrary web script or HTML via a crafted filename that is not properly handled during construction of a variant list. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función make_variant_list en mod_negotiation.c en el módulo mod_negotiation en Apache HTTP Server v2.4.x anteriores a v2.4.3, cuando la opción MultiViews esta activada, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través un nombre de fichero manipulado que no es manejado de forma adecuada mientras se construye una lista de variantes. • http://httpd.apache.org/security/vulnerabilities_24.html http://lists.apple.com/archives/security-announce/2013/Sep/msg00002.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00009.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00011.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00012.html http://mail-archives.apache.org/mod_mbox/www-announce/201208.mbox/%3C0BFFEA9B-801B-4BAA-9534-56F640268E30%40apache.org%3E http://marc.info/?l=bugtraq&m=136612293908376&w=2& • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •