CVE-2007-1199 – Adobe Acrobat/Adobe Reader 7.0.9 - Information Disclosure
https://notcve.org/view.php?id=CVE-2007-1199
Adobe Reader and Acrobat Trial allow remote attackers to read arbitrary files via a file:// URI in a PDF document, as demonstrated with <</URI(file:///C:/)/S/URI>>, a different issue than CVE-2007-0045. Adobe Reader y Acrobat Trial permite a atacantes remotos leer archivos de su elección a través de una file:// URI en un documento PDF, como se demostró con <</URI(file:///C:/)/S/URI>>, un asunto diferente que CVE-2007-0045. • https://www.exploit-db.com/exploits/29686 http://osvdb.org/33897 http://secunia.com/advisories/24408 http://secunia.com/advisories/29205 http://security.gentoo.org/glsa/glsa-200803-01.xml http://www.gnucitizen.org/projects/pdf-strikes-back http://www.securityfocus.com/bid/22753 https://exchange.xforce.ibmcloud.com/vulnerabilities/32815 •
CVE-2007-0103 – Multiple PDF Readers - Multiple Remote Buffer Overflows
https://notcve.org/view.php?id=CVE-2007-0103
The Adobe PDF specification 1.3, as implemented by Adobe Acrobat before 8.0.0, allows remote attackers to have an unknown impact, possibly including denial of service (infinite loop), arbitrary code execution, or memory corruption, via a PDF file with a (1) crafted catalog dictionary or (2) a crafted Pages attribute that references an invalid page tree node. La especificación de Adobe PDF 1.3, como se implementa en Adobe Acrobat anterior a 8.0.0, permite a atacantes remotos tener un impacto desconocido, posiblemente incluyendo denegación de servicio (bucle infinito), ejecución de código de su elección, o corrupción de memoria, mediante un archivo PDF con un (1) diccionario de catálogo manipulado o (2) un atributo Páginas (Pages) manipulado que referencia a un nodo inválido del árbol de páginas. • https://www.exploit-db.com/exploits/29399 http://docs.info.apple.com/article.html?artnum=305214 http://projects.info-pull.com/moab/MOAB-06-01-2007.html http://secunia.com/advisories/24479 http://www.securityfocus.com/bid/21910 http://www.securitytracker.com/id?1017749 http://www.us-cert.gov/cas/techalerts/TA07-072A.html http://www.vupen.com/english/advisories/2007/0930 https://exchange.xforce.ibmcloud.com/vulnerabilities/31364 • CWE-20: Improper Input Validation •
CVE-2007-0046 – Adobe Acrobat Reader Plugin 7.0.x - 'acroreader' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2007-0046
Double free vulnerability in the Adobe Acrobat Reader Plugin before 8.0.0, as used in Mozilla Firefox 1.5.0.7, allows remote attackers to execute arbitrary code by causing an error via a javascript: URI call to document.write in the (1) FDF, (2) XML, or (3) XFDF AJAX request parameters. Doble vulnerabilidad en el Adobe Acrobat Reader Plugin anterior al 8.0.0, como el utilizado en el Mozilla Firefox 1.5.0.7, permite a atacantes remotos ejecutar código de su elección provocando un error mediante un javascript: la URI llama al document.write en los parámetros de petición (1) FDF, (2) XML o (3) XFDF AJAX. • https://www.exploit-db.com/exploits/3084 http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html http://secunia.com/advisories/23691 http://secunia.com/advisories/23812 http://secunia.com/advisories/23877 http://secunia.com/advisories/23882 http://secunia.com/advisories/24533 http://security.gentoo.org/glsa/glsa-200701-16.xml http://securityreason.com/securityalert/2090 http://secu •
CVE-2007-0047
https://notcve.org/view.php?id=CVE-2007-0047
CRLF injection vulnerability in Adobe Acrobat Reader Plugin before 8.0.0, when used with the Microsoft.XMLHTTP ActiveX object in Internet Explorer, allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via CRLF sequences in the javascript: URI in the (1) FDF, (2) XML, or (3) XFDF AJAX request parameters. Vulnerabilidad de inyección de CRLF en el Plugin de Adobe Acrobat Reader anterior al 8.0.0, cuando se utiliza con el objeto ActiveX Microsoft.XMLHTTP en el Internet Explorer, permite a atacantes remotos la inyección de cabeceras HTTP de su elección y dirigir ataques de división de respuesta HTTP mediante secuencias CRLF de javascript: URI en los parámetros de petición (1) FDF, (2) XML o (3) XFDF AJAX • http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html http://secunia.com/advisories/23882 http://securitytracker.com/id?1017469 http://www.vupen.com/english/advisories/2007/0032 https://exchange.xforce.ibmcloud.com/vulnerabilities/31291 •
CVE-2007-0045
https://notcve.org/view.php?id=CVE-2007-0045
Multiple cross-site scripting (XSS) vulnerabilities in Adobe Acrobat Reader Plugin before 8.0.0, and possibly the plugin distributed with Adobe Reader 7.x before 7.1.4, 8.x before 8.1.7, and 9.x before 9.2, for Mozilla Firefox, Microsoft Internet Explorer 6 SP1, Google Chrome, Opera 8.5.4 build 770, and Opera 9.10.8679 on Windows allow remote attackers to inject arbitrary JavaScript and conduct other attacks via a .pdf URL with a javascript: or res: URI with (1) FDF, (2) XML, and (3) XFDF AJAX parameters, or (4) an arbitrarily named name=URI anchor identifier, aka "Universal XSS (UXSS)." Múltiples vulnerabilidades de tipo cross-site-scripting (XSS) en Adobe Acrobat Reader Plugin anterior a versión 8.0.0, y posiblemente el plugin distribuido con Adobe Reader versión 7.x anterior a 7.1.4, versión 8.x anterior a 8.1.7, y versión 9.x anterior a 9.2, para Mozilla Firefox, Microsoft Internet Explorer versión 6 SP1, Google Chrome, Opera versión 8.5.4 build 770 y Opera versión 9.10.8679 en Windows permiten a los atacantes remotos inyectar JavaScript arbitrario y conducir otros ataques por medio de una URL .pdf con un javascript: o URI res: con los parámetros (1) FDF, (2) XML y (3) AJAX XFDF, o (4) un identificador de anclaje arbitrariamente llamado name=URI, también se conoce como "Universal XSS (UXSS)". • http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf http://googlechromereleases.blogspot.com/2009/01/stable-beta-update-yahoo-mail-and.html http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00771742 http://lists.suse.com/archive/suse-security-announce/2007-Jan/0012.html http://secunia.com/advisories/23483 http://secunia.com/advisories/23691 http://secunia.com/advisories/23812 http://secunia.com/advisories/23877 http://secunia.com/advisories/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •