CVSS: 5.0EPSS: 0%CPEs: 12EXPL: 0CVE-2009-0411
https://notcve.org/view.php?id=CVE-2009-0411
Google Chrome before 1.0.154.46 does not properly restrict access from web pages to the (1) Set-Cookie and (2) Set-Cookie2 HTTP response headers, which allows remote attackers to obtain sensitive information from cookies via XMLHttpRequest calls and other web script. Google Chrome anterior a v1.0.154.46 no restringe adecuadamente el acceso de las páginas Web a las cabeceras de respuesta HTTP (1) Set-Cookie y (2) Set-Cookie2. Esto permite a atacantes remotos obtener información sensible de la cookies a través de llamadas XMLHttpRequest y otras secuencias de comandos web. • http://codereview.chromium.org/11264 http://codereview.chromium.org/18533 http://sites.google.com/a/chromium.org/dev/getting-involved/dev-channel/release-notes http://src.chromium.org/viewvc/chrome?view=rev&revision=8529 https://exchange.xforce.ibmcloud.com/vulnerabilities/48554 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 12EXPL: 0CVE-2009-0276
https://notcve.org/view.php?id=CVE-2009-0276
Cross-domain vulnerability in the V8 JavaScript engine in Google Chrome before 1.0.154.46 allows remote attackers to bypass the Same Origin Policy via a crafted script that accesses another frame and reads its full URL and possibly other sensitive information, or modifies the URL of this frame. Vulnerabilidad de dominio cruzado en la V8 del motor JavaScript en Google Chrome anterior a 1.0.154.46, permite a atacantes remotos evitar la Política del Mismo Origen (Same Origin Policy) a través de una secuencia de comandos que accede a otro marco (frame) y lee su URL completa y probablemente otra información sensible, o modifica la URL de ese marco (frame). • http://codereview.chromium.org/18531 http://googlechromereleases.blogspot.com/2009/01/stable-beta-update-yahoo-mail-and.html http://secunia.com/advisories/33754 http://sites.google.com/a/chromium.org/dev/getting-involved/dev-channel/release-notes http://src.chromium.org/viewvc/chrome?view=rev&revision=8524 •
CVSS: 4.3EPSS: 2%CPEs: 1EXPL: 1CVE-2009-0374 – Google Chrome 1.0.154.43 - Clickjacking
https://notcve.org/view.php?id=CVE-2009-0374
Google Chrome 1.0.154.43 allows remote attackers to trick a user into visiting an arbitrary URL via an onclick action that moves a crafted element to the current mouse position, related to a "Clickjacking" vulnerability. NOTE: a third party disputes the relevance of this issue, stating that "every sufficiently featured browser is and likely will remain susceptible to the behavior known as clickjacking," and adding that the exploit code "is not a valid demonstration of the issue. ** IMPUGNADA ** Google Chrome v1.0.154.43 permite a atacantes remotos engañar a un usuario para que visite una URL de su elección mediante una acción "onclick" que mueve un elemento modificado a la posición actual del ratón, relacionado con la vulnerabilidad "Clickjacking". NOTA: una tercera parte cuestiona la relevancia de este asunto, exponiendo que "cualquier navegador suficientemente expuesto es y probablemente continuará siendo susceptible del comportamiento conocido como clickjacking", y añade que el código que explota esta vulnerabilidad no es una demostración válida de la misma. • https://www.exploit-db.com/exploits/7903 http://www.secniche.org/gcr_clkj http://www.securityfocus.com/archive/1/500499/100/0/threaded http://www.securityfocus.com/archive/1/500533/100/0/threaded •
CVSS: 6.8EPSS: 0%CPEs: 2EXPL: 2CVE-2008-5749 – Google Chrome - 'ChromeHTML://' Remote Parameter Injection
https://notcve.org/view.php?id=CVE-2008-5749
Argument injection vulnerability in Google Chrome 1.0.154.36 on Windows XP SP3 allows remote attackers to execute arbitrary commands via the --renderer-path option in a chromehtml: URI. NOTE: a third party disputes this issue, stating that Chrome "will ask for user permission" and "cannot launch the applet even [if] you have given out the permission. ** CUESTIONADA ** Vulnerabilidad de inyección de argumento en Google Chrome 1.0.154.36 sobre Windows XP SP3, permite a atacantes remotos ejecutar comandos de su elección a través de la opción "--renderer-path" en una URI chromehtml:. NOTA: un tercero cuestiona esta vulnerabilidad argumentando que Chrome "pregunta sobre los permisos de usuario" y "no puede lanzar el applet incluso si el usuario da el permiso". • https://www.exploit-db.com/exploits/7566 http://retrogod.altervista.org/9sg_chrome.html http://securityreason.com/securityalert/4821 http://www.securityfocus.com/archive/1/499570/100/0/threaded http://www.securityfocus.com/archive/1/499581/100/0/threaded http://www.securityfocus.com/archive/1/499616/100/0/threaded http://www.securityfocus.com/bid/32997 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2008-4724
https://notcve.org/view.php?id=CVE-2008-4724
Multiple cross-site scripting (XSS) vulnerabilities in Google Chrome 0.2.149.30 allow remote attackers to inject arbitrary web script or HTML via an ftp:// URL for an HTML document within a (1) JPG, (2) PDF, or (3) TXT file. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Google Chrome v0.2.149.30 permiten a atacantes remotos inyectar web script o HTML a través de una URL ftp:// de un documento HTML dentro de un fichero (1) JPG, (2) PDF, o (3) TXT. NOTA: la procedencia de esta información es desconocida; los detalles han sido obtenidos solamente a partir de la información de terceros. • http://www.securityfocus.com/bid/31855 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •