CVSS: 4.3EPSS: 0%CPEs: 190EXPL: 2CVE-2013-1742 – Bugzilla - 'editflagtypes.cgi' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2013-1742
Multiple cross-site scripting (XSS) vulnerabilities in editflagtypes.cgi in Bugzilla 2.x, 3.x, and 4.0.x before 4.0.11; 4.1.x and 4.2.x before 4.2.7; and 4.3.x and 4.4.x before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via the (1) id or (2) sortkey parameter. Múltiples vulnerabilidades de XSS en editflagtypes.cgi de Bugzilla 2.x, 3.x, y 4.0.x anterior a la versión 4.0.11; 4.1.x y 4.2.x anterior a 4.2.7; y 4.3.x y 4.4.x anterior a la versión 4.4.1 permite a atacantes remotos inyectar script web arbitrario o HTML a través de (1) id o (2) parámetro sortkey. • https://www.exploit-db.com/exploits/38806 http://www.bugzilla.org/security/4.0.10 https://bugzilla.mozilla.org/show_bug.cgi?id=924802 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 47EXPL: 0CVE-2013-0785
https://notcve.org/view.php?id=CVE-2013-0785
Cross-site scripting (XSS) vulnerability in show_bug.cgi in Bugzilla before 3.6.13, 3.7.x and 4.0.x before 4.0.10, 4.1.x and 4.2.x before 4.2.5, and 4.3.x and 4.4.x before 4.4rc2 allows remote attackers to inject arbitrary web script or HTML via the id parameter in conjunction with an invalid value of the format parameter. Vulnerabilidad XSS en show_bug.cgi en Bugzilla anterior a v3.6.13, v3.7.x y v4.0.x anterior a v4.0.10, v4.1.x y v4.2.x anterior a v4.2.5, y v4.3.x y v4.4.x anterior a v4.4rc2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro "id" usado junto a un valor inválido del parámetro "format". • http://www.bugzilla.org/security/3.6.12 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=842038 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 113EXPL: 0CVE-2013-0786
https://notcve.org/view.php?id=CVE-2013-0786
The Bugzilla::Search::build_subselect function in Bugzilla 2.x and 3.x before 3.6.13 and 3.7.x and 4.0.x before 4.0.10 generates different error messages for invalid product queries depending on whether a product exists, which allows remote attackers to discover private product names by using debug mode for a query. La función build_subselect de Bugzilla v2.x, v 3.x antes de v3.6.13 y v3.9.x y v4.0.x antes de v4.0.10 genera diferentes mensajes de error para las consultas de productos no válidos en función de si existe un producto, que permite a atacantes remotos descubrir los nombres de productos privados mediante el modo de depuración para una consulta. • http://www.bugzilla.org/security/3.6.12 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=824399 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 181EXPL: 1CVE-2012-4197
https://notcve.org/view.php?id=CVE-2012-4197
Bugzilla/Attachment.pm in attachment.cgi in Bugzilla 2.x and 3.x before 3.6.12, 3.7.x and 4.0.x before 4.0.9, 4.1.x and 4.2.x before 4.2.4, and 4.3.x and 4.4.x before 4.4rc1 allows remote attackers to read attachment descriptions from private bugs via an obsolete=1 insert action. Bugzilla/Attachment.pm en attachment.cgi en Bugzilla v2.x y v3.x antes de v3.6.12, v3.7.x y v4.0.x antes de v4.0.9, v4.1.x y v4.2.x antes de v4.2.4 y v4.3. x y v4.4.x antes de v4.4rc1 permite a atacantes remotos leer las descripciones de los errores privados a través de una acción 'insert' con un obsolete=1. • http://www.bugzilla.org/security/3.6.11 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=802204 https://exchange.xforce.ibmcloud.com/vulnerabilities/80032 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 99EXPL: 0CVE-2012-4199
https://notcve.org/view.php?id=CVE-2012-4199
template/en/default/bug/field-events.js.tmpl in Bugzilla 3.x before 3.6.12, 3.7.x and 4.0.x before 4.0.9, 4.1.x and 4.2.x before 4.2.4, and 4.3.x and 4.4.x before 4.4rc1 generates JavaScript function calls containing private product names or private component names in certain circumstances involving custom-field visibility control, which allows remote attackers to obtain sensitive information by reading HTML source code. template/es/default/bug/field-events.js.tmpl en Bugzilla v3.x antes de v3.6.12, v3.7.x y v4.0.x antes de v4.0.9, v4.1.x y v4.2.x antes de v4.2.4 y v4.3.x v4.4.x antes de v4.4rc1 genera llamadas a funciones de JavaScript que contiene nombres de productos privados o nombres de componentes privados en determinadas circunstancias que se refieren al control de la visibilidad a nivel de campo, lo que permite a atacantes remotos obtener información sensible mediante la lectura del código fuente HTML. • http://www.bugzilla.org/security/3.6.11 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=731178 https://exchange.xforce.ibmcloud.com/vulnerabilities/80029 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •