CVSS: 4.0EPSS: 0%CPEs: 204EXPL: 0CVE-2014-1517
https://notcve.org/view.php?id=CVE-2014-1517
The login form in Bugzilla 2.x, 3.x, 4.x before 4.4.3, and 4.5.x before 4.5.3 does not properly handle a correctly authenticated but unintended login attempt, which makes it easier for remote authenticated users to obtain sensitive information by arranging for a victim to login to the attacker's account and then submit a vulnerability report, related to a "login CSRF" issue. El formulario de inicio de sesión en Bugzilla 2.x, 3.x, 4.x anterior a 4.4.3 y 4.5.x anterior a 4.5.3 no maneja debidamente un intento de inicio de sesión correctamente autenticado pero no intencionado, lo que facilita a usuarios remotos autenticados obtener información sensible haciendo que una victima inicie sesión hacia la cuenta del atacante y posteriormente enviar un informe de vulnerabilidad, relacionado con un problema de "CSRF inicio de sesión". • http://git.mozilla.org/?p=bugzilla/bugzilla.git%3Ba=commit%3Bh=0e390970ba51b14a5dc780be7c6f0d6d7baa67e3 http://lists.fedoraproject.org/pipermail/package-announce/2014-April/132281.html http://lists.fedoraproject.org/pipermail/package-announce/2014-April/132309.html http://www.bugzilla.org/security/4.0.11 http://www.securitytracker.com/id/1030128 https://bugzilla.mozilla.org/show_bug.cgi?id=713926 • CWE-287: Improper Authentication •
CVSS: 6.8EPSS: 0%CPEs: 190EXPL: 1CVE-2013-1734
https://notcve.org/view.php?id=CVE-2013-1734
Cross-site request forgery (CSRF) vulnerability in attachment.cgi in Bugzilla 2.x, 3.x, and 4.0.x before 4.0.11; 4.1.x and 4.2.x before 4.2.7; and 4.3.x and 4.4.x before 4.4.1 allows remote attackers to hijack the authentication of arbitrary users for requests that commit an attachment change via an update action. Vulnerabilidad cross-site request forgery (CSRF) en attachment.cgi de Bugzilla 2.x, 3.x y 4.0.x (anteriores a 4.0.11); 4.1.x y 4.2.x (anteriores a 4.2.7), y 4.3.x y 4.4.x (anteriores a 4.4.1) permite a atacantes remotos secuestrar la autenticacion de usuarios arbitrarios para peticiones que realizan un cambio de adjunto a traves de una acción update. • http://www.bugzilla.org/security/4.0.10 https://bugzilla.mozilla.org/show_bug.cgi?id=913904 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 190EXPL: 2CVE-2013-1742 – Bugzilla - 'editflagtypes.cgi' Multiple Cross-Site Scripting Vulnerabilities
https://notcve.org/view.php?id=CVE-2013-1742
Multiple cross-site scripting (XSS) vulnerabilities in editflagtypes.cgi in Bugzilla 2.x, 3.x, and 4.0.x before 4.0.11; 4.1.x and 4.2.x before 4.2.7; and 4.3.x and 4.4.x before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via the (1) id or (2) sortkey parameter. Múltiples vulnerabilidades de XSS en editflagtypes.cgi de Bugzilla 2.x, 3.x, y 4.0.x anterior a la versión 4.0.11; 4.1.x y 4.2.x anterior a 4.2.7; y 4.3.x y 4.4.x anterior a la versión 4.4.1 permite a atacantes remotos inyectar script web arbitrario o HTML a través de (1) id o (2) parámetro sortkey. • https://www.exploit-db.com/exploits/38806 http://www.bugzilla.org/security/4.0.10 https://bugzilla.mozilla.org/show_bug.cgi?id=924802 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 19EXPL: 1CVE-2013-1743 – Bugzilla 4.2 - Tabular Reports Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2013-1743
Multiple cross-site scripting (XSS) vulnerabilities in report.cgi in Bugzilla 4.1.x and 4.2.x before 4.2.7 and 4.3.x and 4.4.x before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via a field value that is not properly handled during construction of a tabular report, as demonstrated by the (1) summary or (2) real name field. NOTE: this issue exists because of an incomplete fix for CVE-2012-4189. Múltiples vulnerabilidades XSS en report.cgi de Bugzilla 4.1.x y 4.2.x anterior a la versión 4.2.7 y 4.3.x y 4.4.x anterior a 4.4.1 permite a atacantes remotos inyectar script web arbitrario o HTML a través de un valor de campo que no es manejado adecuadamente durante la construcción de un informe tabular, como se demostró en el (1) sumario o (2) nombre real del campo. NOTA: Este fallo existe por una solución incompleta para el CVE-2012-4189. • https://www.exploit-db.com/exploits/38807 http://www.bugzilla.org/security/4.0.10 https://bugzilla.mozilla.org/show_bug.cgi?id=924932 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 47EXPL: 0CVE-2013-0785
https://notcve.org/view.php?id=CVE-2013-0785
Cross-site scripting (XSS) vulnerability in show_bug.cgi in Bugzilla before 3.6.13, 3.7.x and 4.0.x before 4.0.10, 4.1.x and 4.2.x before 4.2.5, and 4.3.x and 4.4.x before 4.4rc2 allows remote attackers to inject arbitrary web script or HTML via the id parameter in conjunction with an invalid value of the format parameter. Vulnerabilidad XSS en show_bug.cgi en Bugzilla anterior a v3.6.13, v3.7.x y v4.0.x anterior a v4.0.10, v4.1.x y v4.2.x anterior a v4.2.5, y v4.3.x y v4.4.x anterior a v4.4rc2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro "id" usado junto a un valor inválido del parámetro "format". • http://www.bugzilla.org/security/3.6.12 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=842038 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •