CVSS: 2.1EPSS: 0%CPEs: 18EXPL: 0CVE-2011-2977
https://notcve.org/view.php?id=CVE-2011-2977
Bugzilla 3.6.x before 3.6.6, 3.7.x, 4.0.x before 4.0.2, and 4.1.x before 4.1.3 on Windows does not delete the temporary files associated with uploaded attachments, which allows local users to obtain sensitive information by reading these files. NOTE: this issue exists because of a regression in 3.6. Bugzilla 3.6.x anteriores a la versón 3.6.6, 3.7.x, 4.0.x anteriores a 4.0.2 y 4.1.x anteriores a 4.1.3 en Windows no borra los archivos temporales asociados a adjuntos subidos, lo que permite a usuarios locales obtener información confidencial leyendo estos archivos. NOTA: este problema existe debido a una regresión en la versión 3.6. • http://secunia.com/advisories/45501 http://www.bugzilla.org/security/3.4.11 http://www.osvdb.org/74302 http://www.securityfocus.com/bid/49042 https://bugzilla.mozilla.org/show_bug.cgi?id=660502 https://exchange.xforce.ibmcloud.com/vulnerabilities/69037 •
CVSS: 4.3EPSS: 0%CPEs: 106EXPL: 0CVE-2011-2976
https://notcve.org/view.php?id=CVE-2011-2976
Cross-site scripting (XSS) vulnerability in Bugzilla 2.16rc1 through 2.22.7, 3.0.x through 3.3.x, and 3.4.x before 3.4.12 allows remote attackers to inject arbitrary web script or HTML via vectors involving a BUGLIST cookie. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Bugzilla 2.16rc1 hasta la versión 2.22.7, 3.0.x hasta la 3.3.x y 3.4.x anteriores a la 3.4.12 permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través de vectores que involucran una cookie BUGLIST. • http://secunia.com/advisories/45501 http://www.bugzilla.org/security/3.4.11 http://www.osvdb.org/74303 http://www.securityfocus.com/bid/49042 https://bugzilla.mozilla.org/show_bug.cgi?id=660053 https://exchange.xforce.ibmcloud.com/vulnerabilities/69038 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 2%CPEs: 3EXPL: 1CVE-2011-2979
https://notcve.org/view.php?id=CVE-2011-2979
Bugzilla 4.1.x before 4.1.3 generates different responses for certain assignee queries depending on whether the group name is valid, which allows remote attackers to determine the existence of private group names via a custom search. NOTE: this vulnerability exists because of a CVE-2010-2756 regression. Bugzilla 4.1.x anteriores a 4.1.3 genera respuestas distintas a peticiones determinadas sobre la persona asignada ("assignee") dependiendo de si el nombre del grupo es válido, lo que permite a atacantes remotos determinar la existencia de nombres de grupos privados a través de una búsqueda. NOTE: esta vulnerabilidad existe debido a una regresión de CVE-2010-2756. • http://secunia.com/advisories/45501 http://www.bugzilla.org/security/3.4.11 http://www.debian.org/security/2011/dsa-2322 http://www.osvdb.org/74298 http://www.osvdb.org/74299 http://www.securityfocus.com/bid/49042 https://bugzilla.mozilla.org/show_bug.cgi?id=674497 https://exchange.xforce.ibmcloud.com/vulnerabilities/69166 •
CVSS: 5.0EPSS: 0%CPEs: 75EXPL: 0CVE-2011-2380
https://notcve.org/view.php?id=CVE-2011-2380
Bugzilla 2.23.3 through 2.22.7, 3.0.x through 3.3.x, 3.4.x before 3.4.12, 3.5.x, 3.6.x before 3.6.6, 3.7.x, 4.0.x before 4.0.2, and 4.1.x before 4.1.3 allows remote attackers to determine the existence of private group names via a crafted parameter during (1) bug creation or (2) bug editing. Bugzilla 2.23.3 hasta la versión 2.22.7, 3.0.x hasta la versión 3.3.x, 3.4.x anteriores a 3.4.12, 3.5.x, 3.6.x anteriores a 3.6.6, 3.7.x, 4.0.x anteriores a 4.0.2 y 4.1.x anteriores a 4.1.3 permite a atacantes remotos determinar la existencia de nombres de grupos privados a través de un parámetro modificado en la (1) creacción o (2) edición de un bug. • http://secunia.com/advisories/45501 http://www.bugzilla.org/security/3.4.11 http://www.debian.org/security/2011/dsa-2322 http://www.osvdb.org/74298 http://www.osvdb.org/74299 http://www.securityfocus.com/bid/49042 https://bugzilla.mozilla.org/show_bug.cgi?id=653477 https://exchange.xforce.ibmcloud.com/vulnerabilities/69034 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 129EXPL: 0CVE-2011-2978
https://notcve.org/view.php?id=CVE-2011-2978
Bugzilla 2.16rc1 through 2.22.7, 3.0.x through 3.3.x, 3.4.x before 3.4.12, 3.5.x, 3.6.x before 3.6.6, 3.7.x, 4.0.x before 4.0.2, and 4.1.x before 4.1.3 does not prevent changes to the confirmation e-mail address (aka old_email field) for e-mail change notifications, which makes it easier for remote attackers to perform arbitrary address changes by leveraging an unattended workstation. Bugzilla 2.16rc1 hasta la versión 2.22.7, 3.0.x hasta la 3.3.x, 3.4.x anterior a 3.4.12, 3.5.x, 3.6.x anteriores a 3.6.6, 3.7.x, 4.0.x anteriores a 4.0.2 y 4.1.x anteriores a 4.1.3 no tiene en cuenta los cambios a la dirección de e-mail de confirmación (campo old_email) para notificaciones de cambio de e-mail, lo que facilita a atacantes remotos realizar cambios de dirección arbitrarios utilizando un ordenador desatendido. • http://secunia.com/advisories/45501 http://www.bugzilla.org/security/3.4.11 http://www.debian.org/security/2011/dsa-2322 http://www.osvdb.org/74301 http://www.securityfocus.com/bid/49042 https://bugzilla.mozilla.org/show_bug.cgi?id=670868 https://exchange.xforce.ibmcloud.com/vulnerabilities/69036 • CWE-20: Improper Input Validation •