Page 32 of 266 results (0.011 seconds)

CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 2

Opera 9.52 and earlier, and 10.00 Beta 3 Build 1699, does not properly block data: URIs in Location headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Location header that contains JavaScript sequences in a data:text/html URI or (2) entering a data:text/html URI with JavaScript sequences when specifying the content of a Location header. NOTE: the JavaScript executes outside of the context of the HTTP site. Opera v9.52 y anteriores, y 10.00 Beta 3 Build 1699, no bloquea apropiadamente las URIs data: en las cabeceras Location en las respuestas HTTP, lo que permite realizar, a atacantes remotos, ataques de ejecución de secuencias de comandos en sitios cruzados(XSS) a través de vectores relacionados con (1) la inyección de una cabecera Location contiene secuencias de JavaScript en una URI data:text/html o (2) intrducción de una URI data:text/html con secuencias de JavaScript cuando se especifica el contenido de una cabecera Location. NOTA: el código JavaScript se ejecuta fuera del contexto del sitio HTTP. • http://websecurity.com.ua/3323 http://websecurity.com.ua/3386 https://exchange.xforce.ibmcloud.com/vulnerabilities/52996 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 23EXPL: 0

Opera 9.52 and earlier allows remote attackers to cause a denial of service (CPU and memory consumption, and application hang) via a long Unicode string argument to the write method, a related issue to CVE-2009-2479. Opera v9.52 y anteriores permite a atacantes remotos causar una denegación de servicio (consumo de memoria y CPU, y colgado de aplicación) a través de un argumento de cadena de caracteres Unicode para el método de escritura, siendo un asunto relacionado con CVE-2009-2577. • http://websecurity.com.ua/3338 http://www.securityfocus.com/archive/1/505092/100/0/threaded • CWE-399: Resource Management Errors •

CVSS: 4.3EPSS: 2%CPEs: 1EXPL: 2

Opera, possibly 9.64 and earlier, allows remote attackers to cause a denial of service (memory consumption) via a large integer value for the length property of a Select object, a related issue to CVE-2009-1692. Opera, posiblemente v9.64 y anteriores, permite a atacantes remotos provocar una denegación de servicio (consumo de memoria) a través de un valor entero largo en la propiedad length de un objeto Select, está relacionada con CVE-2009-1692. • http://www.exploit-db.com/exploits/9160 http://www.g-sec.lu/one-bug-to-rule-them-all.html http://www.securityfocus.com/archive/1/504969/100/0/threaded http://www.securityfocus.com/archive/1/504988/100/0/threaded http://www.securityfocus.com/archive/1/504989/100/0/threaded http://www.securityfocus.com/archive/1/505006/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/52874 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef&# • CWE-770: Allocation of Resources Without Limits or Throttling •

CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 2

Opera 9.52 and earlier does not block javascript: URIs in Refresh headers in HTTP responses, which allows remote attackers to conduct cross-site scripting (XSS) attacks via vectors related to (1) injecting a Refresh header or (2) specifying the content of a Refresh header, a related issue to CVE-2009-1312. NOTE: it was later reported that 10.00 Beta 3 Build 1699 is also affected. El navegador Opera versión 9.52 y versiones anteriores no bloquean javascript: URI en los encabezados de actualización en las respuestas HTTP, lo que permite a los atacantes remotos conducir ataques de tipo Cross-Site Scripting (XSS) mediante vectores relacionados con (1) inyectar un encabezado Refresh o (2) especificar el contenido de un encabezado Refresh, un problema relacionado con CVE-2009-1312. NOTA: luego se informó que 10.00 Beta 3 Build 1699 también se ve afectado. • http://websecurity.com.ua/3275 http://websecurity.com.ua/3386 http://www.securityfocus.com/archive/1/504718/100/0/threaded http://www.securityfocus.com/archive/1/504723/100/0/threaded http://www.securityfocus.com/bid/35571 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.8EPSS: 0%CPEs: 21EXPL: 0

Opera detects http content in https web pages only when the top-level frame uses https, which allows man-in-the-middle attackers to execute arbitrary web script, in an https site's context, by modifying an http page to include an https iframe that references a script file on an http site, related to "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages." Opera detecta contenido http en una página https, sólo cuando el marco de alto nivel utiliza https, lo que permite a los atacantes "hombre en el medio" ejecutar arbitrariamente una secuencia de comandos web, en un contexto de página https, modificando una página http incluya un iframe https referenciando a un archivo de secuencia de comandos en una página http, en relación a páginas "HTTP-Intended-but-HTTPS-Loadable (HPIHSL)". • http://research.microsoft.com/apps/pubs/default.aspx?id=79323 http://research.microsoft.com/pubs/79323/pbp-final-with-update.pdf http://www.securityfocus.com/bid/35403 • CWE-287: Improper Authentication •