CVSS: 4.0EPSS: 0%CPEs: 29EXPL: 0CVE-2012-4198
https://notcve.org/view.php?id=CVE-2012-4198
The User.get method in Bugzilla/WebService/User.pm in Bugzilla 3.7.x and 4.0.x before 4.0.9, 4.1.x and 4.2.x before 4.2.4, and 4.3.x and 4.4.x before 4.4rc1 has a different outcome for a groups request depending on whether a group exists, which allows remote authenticated users to discover private group names by observing whether a call throws an error. El método User.get en Bugzilla/WebService/User.pm en Bugzilla v3.7.x y v4.0.x antes de v4.0.9, v4.1.x y v4.2.x antes de v4.2.4 y v4.3.x y v4.4.x antes de v4.4rc1 tiene un resultado diferente para una solicitud de grupos en función de si un grupo existe, lo que permite a usuarios remotos autenticados descubrir los nombres de grupos privados mediante la observación de si la llamada devuelve un error. • http://www.bugzilla.org/security/3.6.11 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=781850 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 181EXPL: 0CVE-2012-4747
https://notcve.org/view.php?id=CVE-2012-4747
Bugzilla 2.x and 3.x through 3.6.11, 3.7.x and 4.0.x before 4.0.8, 4.1.x and 4.2.x before 4.2.3, and 4.3.x before 4.3.3 stores potentially sensitive information under the web root with insufficient access control, which allows remote attackers to read (1) template (aka .tmpl) files, (2) other custom extension files under extensions/, or (3) custom documentation files under docs/ via a direct request. Bugzilla 2.x y 3.x a través de 3.6.11, 3.7.x y 4.0.x anterior a 4.0.8, 4.1.x y 4.2.x anterior a 4.2.3, y 4.3.x anterior a 4.3.3 almacena la información potencialmente sensible en la raíz web con control de acceso insuficientes, lo que permite a atacantes remotos leer (1) plantilla (aka. tmpl) archivos, (2) otros archivos de extensión personalizados bajo extensions / o (3) archivos de documentación personalizados en docs/ a través de una petición directa . • http://www.bugzilla.org/security/3.6.10 https://bugzilla.mozilla.org/show_bug.cgi?id=785511 https://bugzilla.mozilla.org/show_bug.cgi?id=785522 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 1%CPEs: 168EXPL: 0CVE-2012-3981
https://notcve.org/view.php?id=CVE-2012-3981
Auth/Verify/LDAP.pm in Bugzilla 2.x and 3.x before 3.6.11, 3.7.x and 4.0.x before 4.0.8, 4.1.x and 4.2.x before 4.2.3, and 4.3.x before 4.3.3 does not restrict the characters in a username, which might allow remote attackers to inject data into an LDAP directory via a crafted login attempt. Auth/Verify/LDAP.pm en Bugzilla 2.x y 3.x anterio a 3.6.11, 3.7.x y 4.0.x anterior a 4.0.8, 4.1.x y 4.2.x anterior a 4.2.3 y 4.3.x anterior a 4.3.3 no restringe los caracteres de un nombre de usuario, lo que podría permitir a atacantes remotos inyectar datos en un directorio LDAP por medio de un intento de acceso diseñado. • http://osvdb.org/85072 http://www.bugzilla.org/security/3.6.10 http://www.mandriva.com/security/advisories?name=MDVSA-2013:066 https://bugzilla.mozilla.org/show_bug.cgi?id=785112 https://bugzilla.mozilla.org/show_bug.cgi?id=785470 https://exchange.xforce.ibmcloud.com/vulnerabilities/78193 • CWE-255: Credentials Management Errors •