CVSS: 10.0EPSS: 46%CPEs: 7EXPL: 1CVE-2014-1806 – .NET Remoting Services - Remote Command Execution
https://notcve.org/view.php?id=CVE-2014-1806
The .NET Remoting implementation in Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, and 4.5.1 does not properly restrict memory access, which allows remote attackers to execute arbitrary code via vectors involving malformed objects, aka "TypeFilterLevel Vulnerability." La implementación .NET Remoting en Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5 y 4.5.1 no restringe debidamente acceso a memoria, lo que permite a atacantes remotos ejecutar código arbitrario a través de vectores involucrando objetos malformados, también conocido como 'vulnerabilidad de TypeFilterLevel.' • https://www.exploit-db.com/exploits/35280 http://www.securityfocus.com/bid/67286 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-026 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.3EPSS: 2%CPEs: 2EXPL: 1CVE-2014-0295
https://notcve.org/view.php?id=CVE-2014-0295
VsaVb7rt.dll in Microsoft .NET Framework 2.0 SP2 and 3.5.1 does not implement the ASLR protection mechanism, which makes it easier for remote attackers to execute arbitrary code via a crafted web site, as exploited in the wild in February 2014, aka "VSAVB7RT ASLR Vulnerability." VsaVb7rt.dll en Microsoft .NET Framework 2.0 SP2 y 3.5.1 no implementa el mecanismo de protección ASLR, lo que facilita a atacantes remotos ejecutar código arbitrario a través de un sitio web manipulado, tal y como fue explotado activamente en febrero 2014, también conocido como "VSAVB7RT ASLR Vulnerability." • http://osvdb.org/103164 http://secunia.com/advisories/56793 http://www.greyhathacker.net/?p=585 http://www.securityfocus.com/bid/65418 http://www.securitytracker.com/id/1029745 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-009 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 11%CPEs: 7EXPL: 0CVE-2014-0253
https://notcve.org/view.php?id=CVE-2014-0253
Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, and 4.5.1 does not properly determine TCP connection states, which allows remote attackers to cause a denial of service (ASP.NET daemon hang) via crafted HTTP requests that trigger persistent resource consumption for a (1) stale or (2) closed connection, as exploited in the wild in February 2014, aka "POST Request DoS Vulnerability." Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5 y 4.5.1 no determina adecuadamente los estados de conexión TCP, lo que permite a atacantes remotos causar una denegación de servicio (cuelgue del demonio ASP.NET) a través de solicitudes HTTP manipuladas que provocan el persistente consumo de recursos para una conexión (1) obsoleta o (2) cerrada, tal y como fue explotado activamente en febrero 2014, también conocido como "POST Request DoS Vulnerability." • http://osvdb.org/103162 http://secunia.com/advisories/56793 http://www.securityfocus.com/bid/65415 http://www.securitytracker.com/id/1029745 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-009 • CWE-20: Improper Input Validation •
CVSS: 9.3EPSS: 77%CPEs: 8EXPL: 2CVE-2014-0257 – Microsoft .NET Deployment Service - IE Sandbox Escape (MS14-009)
https://notcve.org/view.php?id=CVE-2014-0257
Microsoft .NET Framework 1.0 SP3, 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, and 4.5.1 does not properly determine whether it is safe to execute a method, which allows remote attackers to execute arbitrary code via (1) a crafted web site or (2) a crafted .NET Framework application that exposes a COM server endpoint, aka "Type Traversal Vulnerability." Microsoft .NET Framework 1.0 SP3, 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5 y 4.5.1 no determina adecuadamente si es seguro ejecutar un método, lo que permite a atacantes remotos ejecutar código arbitrario a través de (1) un sitio web manipulado o (2) una aplicación .NET Framework manipulada que expone un servidor COM, también conocido como "Type Traversal Vulnerability." • https://www.exploit-db.com/exploits/33892 http://packetstormsecurity.com/files/127246/MS14-009-.NET-Deployment-Service-IE-Sandbox-Escape.html http://secunia.com/advisories/56793 http://www.exploit-db.com/exploits/33892 http://www.osvdb.org/103163 http://www.securityfocus.com/bid/65417 http://www.securitytracker.com/id/1029745 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-009 https://github.com/tyranid/IE11SandboxEscapes • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 75%CPEs: 6EXPL: 0CVE-2013-5042
https://notcve.org/view.php?id=CVE-2013-5042
Cross-site scripting (XSS) vulnerability in Microsoft ASP.NET SignalR 1.1.x before 1.1.4 and 2.0.x before 2.0.1, and Visual Studio Team Foundation Server 2013, allows remote attackers to inject arbitrary web script or HTML via crafted Forever Frame transport protocol data, aka "SignalR XSS Vulnerability." Vulnerabilidad de XSS en Microsoft ASP.NET SignalR 1.1.x anterior a la versión 1.1.4 y 2.0.x anterior a 2.0.1, y Visual Studio Team Foundation Server 2013, permite a atacantes remotos inyectar script web arbitrario o HTML a través del protocolo de transporte de datos Forever Frame manipulado, también conocido como "Vulnerabilidad de XSS en SingnalR". • http://www.securitytracker.com/id/1029463 https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-103 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •