CVSS: 6.8EPSS: 60%CPEs: 13EXPL: 0CVE-2011-3415
https://notcve.org/view.php?id=CVE-2011-3415
Open redirect vulnerability in the Forms Authentication feature in the ASP.NET subsystem in Microsoft .NET Framework 2.0 SP2, 3.5 SP1, 3.5.1, and 4.0 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a crafted return URL, aka "Insecure Redirect in .NET Form Authentication Vulnerability." Abrir redirigir la vulnerabilidad en la función de autenticación de formularios en el subsistema de ASP.NET de Microsoft .NET Framework 2.0 SP2, 3.5 SP1, 3.5.1 y 4.0 permite a atacantes remotos redirigir a los usuarios a sitios web arbitrario y llevar a cabo ataques de phishing a través de una dirección URL de retorno a mano , también conocido como "Inseguro Redirigir dentro .NET vulnerabilidad de autenticación de formularios". • http://jvn.jp/en/jp/JVN71256611/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2011-003557 http://www.securityfocus.com/bid/51202 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-100 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14815 • CWE-20: Improper Input Validation •
CVSS: 7.8EPSS: 96%CPEs: 13EXPL: 0CVE-2011-3414
https://notcve.org/view.php?id=CVE-2011-3414
The CaseInsensitiveHashProvider.getHashCode function in the HashTable implementation in the ASP.NET subsystem in Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, and 4.0 computes hash values for form parameters without restricting the ability to trigger hash collisions predictably, which allows remote attackers to cause a denial of service (CPU consumption) by sending many crafted parameters, aka "Collisions in HashTable May Cause DoS Vulnerability." La función CaseInsensitiveHashProvider.getHashCode en la ejecución HashTable en el subsistema de ASP.NET de Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, 4.0 calcula los valores hash de los parámetros de forma, sin restringir la capacidad de desencadenar colisiones hash predecible , que permite a atacantes remotos provocar una denegación de servicio (consumo de CPU) mediante el envío de gran cantidad de parámetros a mano, también conocido como "Las colisiones en HashTable puede causar vulnerabilidad de denegación". • http://archives.neohapsis.com/archives/bugtraq/2011-12/0181.html http://www.kb.cert.org/vuls/id/903934 http://www.nruns.com/_downloads/advisory28122011.pdf http://www.ocert.org/advisories/ocert-2011-003.html http://www.us-cert.gov/cas/techalerts/TA11-347A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-100 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14588 • CWE-399: Resource Management Errors •
CVSS: 9.3EPSS: 10%CPEs: 13EXPL: 0CVE-2011-3417
https://notcve.org/view.php?id=CVE-2011-3417
The Forms Authentication feature in the ASP.NET subsystem in Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, and 4.0, when sliding expiry is enabled, does not properly handle cached content, which allows remote attackers to obtain access to arbitrary user accounts via a crafted URL, aka "ASP.NET Forms Authentication Ticket Caching Vulnerability." La función de autenticación de formularios en el subsistema de ASP.NET de Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1 y 4.0, cuando la pérdida de deslizamiento está activada, no controla correctamente el contenido almacenado en caché, que permite a atacantes remotos obtener el acceso a las cuentas de usuario arbitrario a través de una URL a mano, también conocido como "formularios de autenticación ASP.NET de almacenamiento en caché de la vulnerabilidad". • http://www.securityfocus.com/bid/51203 http://www.us-cert.gov/cas/techalerts/TA11-347A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-100 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14625 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.5EPSS: 95%CPEs: 13EXPL: 0CVE-2011-3416 – Microsoft ASP.NET Forms Authentication Bypass
https://notcve.org/view.php?id=CVE-2011-3416
The Forms Authentication feature in the ASP.NET subsystem in Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1, and 4.0 allows remote authenticated users to obtain access to arbitrary user accounts via a crafted username, aka "ASP.Net Forms Authentication Bypass Vulnerability." La función de autenticación de formularios en el subsistema de ASP.NET de Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5 SP1, 3.5.1 y 4.0 permite a usuarios remotos autenticados obtener acceso a cuentas de usuario de su elección mediante un nombre de usuario hecha a mano, también conocido como "Formas de autenticación ASP.Net de Bypass de vulnerabilidad". Microsoft ASP.NET Forms versions 4.0.30319.237 and below suffer from an authentication bypass vulnerability. • http://www.us-cert.gov/cas/techalerts/TA11-347A.html https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-100 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14363 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 1%CPEs: 27EXPL: 0CVE-2011-3404
https://notcve.org/view.php?id=CVE-2011-3404
Microsoft Internet Explorer 6 through 9 does not properly use the Content-Disposition HTTP header to control rendering of the HTTP response body, which allows remote attackers to read content from a different (1) domain or (2) zone via a crafted web site, aka "Content-Disposition Information Disclosure Vulnerability." Microsoft Internet Explorer 6 hasta la versión 9 no utiliza apropiadamente la cabecera HTTP Content-Disposition para controlar la representación gráfica del cuerpo de la respuesta HTTP, lo que permite a atacantes remotos leer contenido de un (1) dominio o (2) zona distinta a través de un página web modificada. También conocida como "Vulnerabilidad de revelación de información Content-Disposition". • https://docs.microsoft.com/en-us/security-updates/securitybulletins/2011/ms11-099 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14614 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •