Page 6 of 41 results (0.010 seconds)

CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 0

Bugzilla 3.5.x and 3.6.x before 3.6.9, 3.7.x and 4.0.x before 4.0.6, and 4.1.x and 4.2.x before 4.2.1, when the inbound_proxies option is enabled, does not properly validate the X-Forwarded-For HTTP header, which allows remote attackers to bypass the lockout policy via a series of authentication requests with (1) different IP address strings in this header or (2) a long string in this header. Bugzilla v3.5.x y v3.6.x antes de v3.6.9, v3.7.x y v4.0.x antes de v4.0.6 y v4.1.x y v4.2.x antes de v4.2.1, cuando la opción "inbound_proxies" está activada, no valida correctamente la cabecera HTTP 'X-Forwarded-For', loque permite evitar la política de bloqueo a atacantes remotos a través de una serie de solicitudes de autenticación con (1) cadenas con diferentes direcciones IP en este encabezado o (2) una cadena demasiado larga en esta cabecera. • http://archives.neohapsis.com/archives/bugtraq/2012-04/0135.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079432.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079481.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079604.html https://bugzilla.mozilla.org/show_bug.cgi?id=728639 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 5.1EPSS: 0%CPEs: 8EXPL: 0

Cross-site request forgery (CSRF) vulnerability in xmlrpc.cgi in Bugzilla 4.0.2 through 4.0.4 and 4.1.1 through 4.2rc2, when mod_perl is used, allows remote attackers to hijack the authentication of arbitrary users for requests that modify the product's installation via the XML-RPC API. Vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en xmlrpc.cgi en Bugzilla v4.0.2 hasta v4.0.4 y v4.1.1 hasta v4.2rc2, cuando mod_perl se utiliza, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para solicitudes que modifican la instalación del producto a través de la API XML-RPC. • http://www.bugzilla.org/security/4.0.4 http://www.securitytracker.com/id?1026737 https://bugzilla.mozilla.org/show_bug.cgi?id=725663 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.1EPSS: 0%CPEs: 29EXPL: 1

Cross-site request forgery (CSRF) vulnerability in jsonrpc.cgi in Bugzilla 3.5.x and 3.6.x before 3.6.8, 3.7.x and 4.0.x before 4.0.4, and 4.1.x and 4.2.x before 4.2rc2 allows remote attackers to hijack the authentication of arbitrary users for requests that use the JSON-RPC API. Una vulnerabilidad de falsificación solicitudes en sitios cruzados(CSRF) en jsonrpc.cgi en Bugzilla v3.5.x y 3.6.x antes de v3.6.8, v3.7.x y v4.0.x antes de v4.0.4 y v4.1.x y v4.2.x antes v4.2rc2 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que utilizan la API de JSON-RPC. • http://secunia.com/advisories/47814 http://www.bugzilla.org/security/3.4.13 http://www.securitytracker.com/id?1026623 https://bugzilla.mozilla.org/show_bug.cgi?id=718319 https://exchange.xforce.ibmcloud.com/vulnerabilities/72882 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.0EPSS: 0%CPEs: 163EXPL: 1

Bugzilla 2.x and 3.x before 3.4.14, 3.5.x and 3.6.x before 3.6.8, 3.7.x and 4.0.x before 4.0.4, and 4.1.x and 4.2.x before 4.2rc2 does not reject non-ASCII characters in e-mail addresses of new user accounts, which makes it easier for remote authenticated users to spoof other user accounts by choosing a similar e-mail address. Bugzilla v2.x y v3.x antes de v3.4.14, v3.5.x y v3.6.x antes de v3.6.8, v3.7.x y v4.0.x antes de v4.0.4 y v4.1.x y v4.2.x antes v4.2rc2 no rechazan los caracteres no ASCII en las direcciones de correo electrónico de las nuevas cuentas de usuario, lo que facilita a los usuarios remotos autenticados a la hora de suplantar otras cuentas de usuario al elegir una dirección de correo electrónico similar a la suya. • http://secunia.com/advisories/47814 http://www.bugzilla.org/security/3.4.13 http://www.securityfocus.com/bid/51784 http://www.securitytracker.com/id?1026623 https://bugzilla.mozilla.org/show_bug.cgi?id=714472 https://exchange.xforce.ibmcloud.com/vulnerabilities/72877 • CWE-20: Improper Input Validation •

CVSS: 6.8EPSS: 0%CPEs: 161EXPL: 1

Cross-site request forgery (CSRF) vulnerability in post_bug.cgi in Bugzilla 2.x, 3.x, and 4.x before 4.2rc1 allows remote attackers to hijack the authentication of arbitrary users for requests that create bug reports. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en post_bug.cgi en Bugzilla v2.x, v3.x, y v4.x antes de v4.2rc1, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para peticiones que crean informes de bugs. • http://secunia.com/advisories/47368 http://www.bugzilla.org/security/3.4.12 https://bugzilla.mozilla.org/show_bug.cgi?id=703975 • CWE-352: Cross-Site Request Forgery (CSRF) •