CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 1CVE-2020-8516
https://notcve.org/view.php?id=CVE-2020-8516
The daemon in Tor through 0.4.1.8 and 0.4.2.x through 0.4.2.6 does not verify that a rendezvous node is known before attempting to connect to it, which might make it easier for remote attackers to discover circuit information. NOTE: The network team of Tor claims this is an intended behavior and not a vulnerability ** EN DISPUTA ** El demonio en Tor hasta la versión 0.4.1.8 y versiones 0.4.2.x hasta la versión 0.4.2.6, no comprueba que un nodo rendezvous sea conocido antes de intentar conectarse a él, lo que podría facilitar a atacantes remotos descubrir información del circuito. NOTA: El equipo de red de Tor afirma que este es un comportamiento previsto y no una vulnerabilidad. • https://lists.torproject.org/pipermail/tor-dev/2020-February/014146.html https://lists.torproject.org/pipermail/tor-dev/2020-February/014147.html https://security-tracker.debian.org/tracker/CVE-2020-8516 https://trac.torproject.org/projects/tor/ticket/33129 https://www.hackerfactor.com/blog/index.php?/archives/868-Deanonymizing-Tor-Circuits.html •
CVSS: 7.5EPSS: 1%CPEs: 19EXPL: 0CVE-2019-8955
https://notcve.org/view.php?id=CVE-2019-8955
In Tor before 0.3.3.12, 0.3.4.x before 0.3.4.11, 0.3.5.x before 0.3.5.8, and 0.4.x before 0.4.0.2-alpha, remote denial of service against Tor clients and relays can occur via memory exhaustion in the KIST cell scheduler. En Tor, en versiones anteriores a la 0.3.3.12, en las 0.3.4.x anteriores a la 0.3.4.11, en las 0.3.5.x anteriores a la 0.3.5.8 y en las 0.4.x anteriores a la 0.4.0.2-alpha, puede ocurrir una denegación de servicio (DoS) remota contra los clientes Tor, además de reproducciones mediante el agotamiento de memoria en el programador "KIST cell". • http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00013.html http://www.securityfocus.com/bid/107136 https://blog.torproject.org/new-releases-tor-0402-alpha-0358-03411-and-03312 https://trac.torproject.org/projects/tor/ticket/29168 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 6.5EPSS: 0%CPEs: 18EXPL: 2CVE-2017-16541 – Mozilla: Proxy bypass using automount and autofs
https://notcve.org/view.php?id=CVE-2017-16541
Tor Browser before 7.0.9 on macOS and Linux allows remote attackers to bypass the intended anonymity feature and discover a client IP address via vectors involving a crafted web site that leverages file:// mishandling in Firefox, aka TorMoil. NOTE: Tails is unaffected. El navegador Tor en versiones anteriores a la 7.0.9 en macOS y Linux permite que atacantes remotos sin omitan las características de anonimato previstas y descubran una dirección IP de cliente mediante vectores que impliquen un sitio web manipulado que aproveche la mala gestión de file:// en Firefox. Esto también se conoce como TorMoil. NOTA: Tails no se ha visto afectado. • https://github.com/Ethan-Chen-uwo/A-breif-introduction-of-CVE-2017-16541 http://www.securityfocus.com/bid/101665 http://www.securitytracker.com/id/1041610 https://access.redhat.com/errata/RHSA-2018:2692 https://access.redhat.com/errata/RHSA-2018:2693 https://access.redhat.com/errata/RHSA-2018:3403 https://access.redhat.com/errata/RHSA-2018:3458 https://blog.torproject.org/tor-browser-709-released https://bugzilla.mozilla.org/show_bug.cgi?id=1412081 https://lists.debian.or • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •