CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-5123
https://notcve.org/view.php?id=CVE-2018-5123
A third party website can access information available to a user with access to a restricted bug entry using the image generation in report.cgi in all Bugzilla versions prior to 4.4. Un sitio web de terceros puede acceder a la información disponible para un usuario con acceso a una entrada de fallo restringida, utilizando la generación de imágenes en report.cgi en todas las versiones de Bugzilla anteriores a la 4.4. • https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2018-5123 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.7EPSS: 0%CPEs: 147EXPL: 1CVE-2015-8508
https://notcve.org/view.php?id=CVE-2015-8508
Cross-site scripting (XSS) vulnerability in showdependencygraph.cgi in Bugzilla 2.x, 3.x, and 4.x before 4.2.16, 4.3.x and 4.4.x before 4.4.11, and 4.5.x and 5.0.x before 5.0.2, when a local dot configuration is used, allows remote attackers to inject arbitrary web script or HTML via a crafted bug summary. Vulnerabilidad de XSS en showdependencygraph.cgi en Bugzilla 2.x, 3.x y 4.x en versiones anteriores a 4.2.16, 4.3.x y 4.4.x en versiones anteriores a 4.4.11 y 4.5.x y 5.0.x en versiones anteriores a 5.0.2, cuando se utiliza una configuración dot local, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un resumen de error manipulado. • http://packetstormsecurity.com/files/135048/Bugzilla-Cross-Site-Scripting-Information-Leak.html http://seclists.org/bugtraq/2015/Dec/131 http://www.securityfocus.com/bid/79660 http://www.securitytracker.com/id/1034556 https://bugzilla.mozilla.org/show_bug.cgi?id=1221518 https://www.bugzilla.org/security/4.2.15 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 147EXPL: 1CVE-2015-8509
https://notcve.org/view.php?id=CVE-2015-8509
Template.pm in Bugzilla 2.x, 3.x, and 4.x before 4.2.16, 4.3.x and 4.4.x before 4.4.11, and 4.5.x and 5.0.x before 5.0.2 does not properly construct CSV files, which allows remote attackers to obtain sensitive information by leveraging a web browser that interprets CSV data as JavaScript code. Template.pm en Bugzilla 2.x, 3.x y 4.x en versiones anteriores a 4.2.16, 4.3.x y 4.4.x en versiones anteriores a 4.4.11 y 4.5.x y 5.0.x en versiones anteriores a 5.0.2 no construye adecuadamente archivos CSV, lo que permite a atacantes remotos obtener información sensible aprovechando un navegador web que interpreta datos CSV como código JavaScript. • http://packetstormsecurity.com/files/135048/Bugzilla-Cross-Site-Scripting-Information-Leak.html http://seclists.org/bugtraq/2015/Dec/131 http://www.securityfocus.com/bid/79662 http://www.securitytracker.com/id/1034556 https://bugzilla.mozilla.org/show_bug.cgi?id=1232785 https://www.bugzilla.org/security/4.2.15 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 2%CPEs: 205EXPL: 1CVE-2015-4499
https://notcve.org/view.php?id=CVE-2015-4499
Util.pm in Bugzilla 2.x, 3.x, and 4.x before 4.2.15, 4.3.x and 4.4.x before 4.4.10, and 5.x before 5.0.1 mishandles long e-mail addresses during account registration, which allows remote attackers to obtain the default privileges for an arbitrary domain name by placing that name in a substring of an address, as demonstrated by truncation of an @mozilla.com.example.com address to an @mozilla.com address. Vulnerabilidad en Util.pm en Bugzilla 2.x, 3.x, y 4.x en versiones anteriores a 4.2.15, 4.3.x y 4.4.x en versiones anteriores a 4.4.10, y 5.x en versiones anteriores a 5.0.1, no gestiona correctamente direcciones de correo electrónico de gran tamaño durante el registro de la cuenta, lo que permite a atacantes remotos obtener los privilegios predeterminados para un nombre de dominio arbitrario poniendo ese nombre en una subcadena de una dirección, según lo demostrado por el truncado de una cuenta @mozilla.com.example.com a una cuenta @mozilla.com. • http://lists.fedoraproject.org/pipermail/package-announce/2015-October/168725.html http://lists.fedoraproject.org/pipermail/package-announce/2015-October/169946.html http://lists.fedoraproject.org/pipermail/package-announce/2015-October/169983.html http://packetstormsecurity.com/files/133578/Bugzilla-Unauthorized-Account-Creation.html http://seclists.org/bugtraq/2015/Sep/48 http://seclists.org/bugtraq/2015/Sep/49 http://www.securitytracker.com/id/1033542 https://bug1202447.bmoattachments.org/attachment.cgi?id= • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 41EXPL: 0CVE-2014-8630
https://notcve.org/view.php?id=CVE-2014-8630
Bugzilla before 4.0.16, 4.1.x and 4.2.x before 4.2.12, 4.3.x and 4.4.x before 4.4.7, and 5.x before 5.0rc1 allows remote authenticated users to execute arbitrary commands by leveraging the editcomponents privilege and triggering crafted input to a two-argument Perl open call, as demonstrated by shell metacharacters in a product name. Bugzilla anterior a 4.0.16, 4.1.x y 4.2.x anterior a 4.2.12, 4.3.x y 4.4.x anterior a 4.4.7, y 5.x anterior a 5.0rc1 permite a usuarios remotos autenticados ejecutar comandos arbitrarios mediante el aprovechamiento del privilegio editcomponents y la provocación de entradas manipuladas en una llamada abierta de doble argumento Perl, tal y como fue demostrado mediante megacaracteres de shell en el nombre de un producto. • http://advisories.mageia.org/MGASA-2015-0048.html http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149921.html http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149925.html http://www.bugzilla.org/security/4.0.15 http://www.mandriva.com/security/advisories?name=MDVSA-2015:030 https://bugzilla.mozilla.org/show_bug.cgi?id=1079065 https://security.gentoo.org/glsa/201607-11 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •