Page 7 of 72 results (0.019 seconds)

CVSS: 7.5EPSS: 1%CPEs: 113EXPL: 0

CVE-2010-4568

https://notcve.org/view.php?id=CVE-2010-4568

Bugzilla 2.14 through 2.22.7; 3.0.x, 3.1.x, and 3.2.x before 3.2.10; 3.4.x before 3.4.10; 3.6.x before 3.6.4; and 4.0.x before 4.0rc2 does not properly generate random values for cookies and tokens, which allows remote attackers to obtain access to arbitrary accounts via unspecified vectors, related to an insufficient number of calls to the srand function. Bugzilla v2.14 a la v2.22.7; v3.0.x, v3.1.x, y v3.2.x anterior a v3.2.10; v3.4.x anterior a v3.4.10; v3.6.x anterior a v3.6.4; y v4.0.x anterior a v4.0rc2, no genera adecuadamente valores aleatorios para las cookies y los tokens, lo que permite a atacantes remotos obtener acceso a cuentas de su elección a través de vectores no especificados. Relacionado con un número insuficiente de llamadas a la función "srand". • http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053665.html http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053678.html http://osvdb.org/70700 http://secunia.com/advisories/43033 http://secunia.com/advisories/43165 http://www.bugzilla.org/security/3.2.9 http://www.debian.org/security/2011/dsa-2322 http://www.securityfocus.com/bid/45982 http://www.vupen.com/english/advisories/2011/0207 http://www.vupen.com/english/advisories/2011/ • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.3EPSS: 1%CPEs: 109EXPL: 0

CVE-2010-4572

https://notcve.org/view.php?id=CVE-2010-4572

CRLF injection vulnerability in chart.cgi in Bugzilla before 3.2.10, 3.4.x before 3.4.10, 3.6.x before 3.6.4, and 4.0.x before 4.0rc2 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via the query string, a different vulnerability than CVE-2010-2761 and CVE-2010-4411. Vulnerabilidad de CRLF (de validación de entrada) en chart.cgi en Bugzilla anterior a v3.2.10, v3.4.x anterior a v3.4.10, v3.6.x anterior a v3.6.4, y v4.0.x anterior a v4.0rc2, permite a atacantes remotos inyectar cabeceras HTTP de su elección y llevar a cabo ataques de separación (splitting) respuestas HTTP a través de la petición "string". Vulnerabilidad distinta de CVE-2010-2761 y CVE-2010-4411. • http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053665.html http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053678.html http://osvdb.org/70703 http://secunia.com/advisories/43033 http://secunia.com/advisories/43165 http://www.bugzilla.org/security/3.2.9 http://www.debian.org/security/2011/dsa-2322 http://www.securityfocus.com/bid/45982 http://www.vupen.com/english/advisories/2011/0207 http://www.vupen.com/english/advisories/2011/ • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 6.8EPSS: 0%CPEs: 109EXPL: 0

CVE-2011-0046

https://notcve.org/view.php?id=CVE-2011-0046

Multiple cross-site request forgery (CSRF) vulnerabilities in Bugzilla before 3.2.10, 3.4.x before 3.4.10, 3.6.x before 3.6.4, and 4.0.x before 4.0rc2 allow remote attackers to hijack the authentication of arbitrary users for requests related to (1) adding a saved search in buglist.cgi, (2) voting in votes.cgi, (3) sanity checking in sanitycheck.cgi, (4) creating or editing a chart in chart.cgi, (5) column changing in colchange.cgi, and (6) adding, deleting, or approving a quip in quips.cgi. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en Bugzilla anterior a v3.2.10, v3.4.x anterior a v3.4.10, v3.6.x anterior a v3.6.4, y v4.0.x anterior a v4.0rc2 permiten a atacantes remotos secuestrar la autenticación de usuarios de su elección para solicitudes relacionadas con (1) añadir una búsqueda almacenada en buglist.cgi, (2) votar en votes.cgi, (3) realizar unas comprobaciones de saneamiento en sanitycheck.cgi, (4) crear o editar un chart en chart.cgi, (5) cambiar una columna en colchange.cgi, y (6) añadir, eliminar, o aprobar un quip en quips.cgi. • http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053665.html http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053678.html http://osvdb.org/70705 http://osvdb.org/70706 http://osvdb.org/70707 http://osvdb.org/70708 http://osvdb.org/70709 http://osvdb.org/70710 http://secunia.com/advisories/43033 http://secunia.com/advisories/43165 http://www.bugzilla.org/security/3.2.9 http://www.debian.org/security/2011/dsa-2322 http • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 109EXPL: 0

CVE-2011-0048

https://notcve.org/view.php?id=CVE-2011-0048

Bugzilla before 3.2.10, 3.4.x before 3.4.10, 3.6.x before 3.6.4, and 4.0.x before 4.0rc2 creates a clickable link for a (1) javascript: or (2) data: URI in the URL (aka bug_file_loc) field, which allows remote attackers to conduct cross-site scripting (XSS) attacks against logged-out users via a crafted URI. Bugzilla anterior a v3.2.10, v3.4.x anterior a v3.4.10, v3.6.x anterior a v3.6.4, y v4.0.x anterior a v4.0rc2 crea un enlace a un campo URI de la URL (también conocido como bug_file_loc) de (1) javascript: o (2) data:, esto permite a atacantes remotos realizar ataques de secuencias de comandos en sitios cruzados (XSS) mediante URIs manipuladas y contra usuarios que hayan cerrado sesión. • http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053665.html http://lists.fedoraproject.org/pipermail/package-announce/2011-February/053678.html http://osvdb.org/70704 http://secunia.com/advisories/43033 http://secunia.com/advisories/43165 http://www.bugzilla.org/security/3.2.9 http://www.debian.org/security/2011/dsa-2322 http://www.securityfocus.com/bid/45982 http://www.vupen.com/english/advisories/2011/0207 http://www.vupen.com/english/advisories/2011/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 92EXPL: 1

CVE-2010-3764

https://notcve.org/view.php?id=CVE-2010-3764

The Old Charts implementation in Bugzilla 2.12 through 3.2.8, 3.4.8, 3.6.2, 3.7.3, and 4.1 creates graph files with predictable names in graphs/, which allows remote attackers to obtain sensitive information via a modified URL. La implementación Old Charts en Bugzilla v2.12 hasta v3.2.8, v3.4.8, v3.6.2, v3.7.3, y v4.1 crea archivos gráficos con nombres predecibles en graphs/, lo que permite a atacantes remotos obtener información sensible a través de URL modificadas. • http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050813.html http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050820.html http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050830.html http://secunia.com/advisories/42271 http://www.bugzilla.org/security/3.2.8 http://www.securitytracker.com/id?1024683 http://www.vupen.com/english/advisories/2010/2878 http://www.vupen.com/english/advisories/2010/2975 https://bugzilla.mozilla.org • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •