CVSS: 4.0EPSS: 0%CPEs: 164EXPL: 0CVE-2012-0466
https://notcve.org/view.php?id=CVE-2012-0466
template/en/default/list/list.js.tmpl in Bugzilla 2.x and 3.x before 3.6.9, 3.7.x and 4.0.x before 4.0.6, and 4.1.x and 4.2.x before 4.2.1 does not properly handle multiple logins, which allows remote attackers to conduct cross-site scripting (XSS) attacks and obtain sensitive bug information via a crafted web page. El fichero template/en/default/list/list.js.tmpl en Bugzilla v2.x y v3.x antes de v3.6.9, v3.7.x y v4.0.x antes de v4.0.6 y v4.1.x y v4.2.x antes de v4.2.1 no trata correctamente los inicios de sesión múltiples, lo que permite ataques de ejecución de comandos en sitios cruzados (XSS) a atacantes remotos y obtener importante información de vulnerabilidades a través de una página web especificamente diseñada para este fin. • http://archives.neohapsis.com/archives/bugtraq/2012-04/0135.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079432.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079481.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079604.html https://bugzilla.mozilla.org/show_bug.cgi?id=745397 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.1EPSS: 0%CPEs: 8EXPL: 0CVE-2012-0453
https://notcve.org/view.php?id=CVE-2012-0453
Cross-site request forgery (CSRF) vulnerability in xmlrpc.cgi in Bugzilla 4.0.2 through 4.0.4 and 4.1.1 through 4.2rc2, when mod_perl is used, allows remote attackers to hijack the authentication of arbitrary users for requests that modify the product's installation via the XML-RPC API. Vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en xmlrpc.cgi en Bugzilla v4.0.2 hasta v4.0.4 y v4.1.1 hasta v4.2rc2, cuando mod_perl se utiliza, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para solicitudes que modifican la instalación del producto a través de la API XML-RPC. • http://www.bugzilla.org/security/4.0.4 http://www.securitytracker.com/id?1026737 https://bugzilla.mozilla.org/show_bug.cgi?id=725663 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.1EPSS: 0%CPEs: 29EXPL: 1CVE-2012-0440
https://notcve.org/view.php?id=CVE-2012-0440
Cross-site request forgery (CSRF) vulnerability in jsonrpc.cgi in Bugzilla 3.5.x and 3.6.x before 3.6.8, 3.7.x and 4.0.x before 4.0.4, and 4.1.x and 4.2.x before 4.2rc2 allows remote attackers to hijack the authentication of arbitrary users for requests that use the JSON-RPC API. Una vulnerabilidad de falsificación solicitudes en sitios cruzados(CSRF) en jsonrpc.cgi en Bugzilla v3.5.x y 3.6.x antes de v3.6.8, v3.7.x y v4.0.x antes de v4.0.4 y v4.1.x y v4.2.x antes v4.2rc2 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que utilizan la API de JSON-RPC. • http://secunia.com/advisories/47814 http://www.bugzilla.org/security/3.4.13 http://www.securitytracker.com/id?1026623 https://bugzilla.mozilla.org/show_bug.cgi?id=718319 https://exchange.xforce.ibmcloud.com/vulnerabilities/72882 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.0EPSS: 0%CPEs: 163EXPL: 1CVE-2012-0448
https://notcve.org/view.php?id=CVE-2012-0448
Bugzilla 2.x and 3.x before 3.4.14, 3.5.x and 3.6.x before 3.6.8, 3.7.x and 4.0.x before 4.0.4, and 4.1.x and 4.2.x before 4.2rc2 does not reject non-ASCII characters in e-mail addresses of new user accounts, which makes it easier for remote authenticated users to spoof other user accounts by choosing a similar e-mail address. Bugzilla v2.x y v3.x antes de v3.4.14, v3.5.x y v3.6.x antes de v3.6.8, v3.7.x y v4.0.x antes de v4.0.4 y v4.1.x y v4.2.x antes v4.2rc2 no rechazan los caracteres no ASCII en las direcciones de correo electrónico de las nuevas cuentas de usuario, lo que facilita a los usuarios remotos autenticados a la hora de suplantar otras cuentas de usuario al elegir una dirección de correo electrónico similar a la suya. • http://secunia.com/advisories/47814 http://www.bugzilla.org/security/3.4.13 http://www.securityfocus.com/bid/51784 http://www.securitytracker.com/id?1026623 https://bugzilla.mozilla.org/show_bug.cgi?id=714472 https://exchange.xforce.ibmcloud.com/vulnerabilities/72877 • CWE-20: Improper Input Validation •
CVSS: 6.8EPSS: 0%CPEs: 161EXPL: 1CVE-2011-3668
https://notcve.org/view.php?id=CVE-2011-3668
Cross-site request forgery (CSRF) vulnerability in post_bug.cgi in Bugzilla 2.x, 3.x, and 4.x before 4.2rc1 allows remote attackers to hijack the authentication of arbitrary users for requests that create bug reports. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en post_bug.cgi en Bugzilla v2.x, v3.x, y v4.x antes de v4.2rc1, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección para peticiones que crean informes de bugs. • http://secunia.com/advisories/47368 http://www.bugzilla.org/security/3.4.12 https://bugzilla.mozilla.org/show_bug.cgi?id=703975 • CWE-352: Cross-Site Request Forgery (CSRF) •