CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2011-3384
https://notcve.org/view.php?id=CVE-2011-3384
Cross-site scripting (XSS) vulnerability in the Sage add-on 1.3.10 and earlier for Firefox allows remote attackers to inject arbitrary web script or HTML via a crafted feed, a different vulnerability than CVE-2009-4102. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados en Sage add-on v1.3.10 y anterior para Firefox, permite a atacantes remotos inyectar código de su elección a través de secuencias de comandos web o HTML a través de un feed modificado. Una vulnerabilidad diferente de CVE-2009-4102. • http://jvn.jp/en/jp/JVN30221194/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2011-000069 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 1%CPEs: 3EXPL: 0CVE-2009-4102
https://notcve.org/view.php?id=CVE-2009-4102
Sage 1.4.3 and earlier extension for Firefox performs certain operations with chrome privileges, which allows remote attackers to execute arbitrary commands and perform cross-domain scripting attacks via the description tag of an RSS feed. Sage v1.4.3 y anteriores extensiones para Firefox realiza ciertas operaciones con privilegios del chrome, lo que permite a atacantes remotos ejecutar comandos de su elección y realizar ataques ataques de secuencias de comandos a través de la etiqueta descripción de un feed RSS. • http://forums.mozillazine.org/viewtopic.php?f=48&t=1603515&start=0 http://jvn.jp/en/jp/JVN99203127/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2011-000070 http://secunia.com/advisories/37466 http://www.debian.org/security/2009/dsa-1951 http://www.net-security.org/secworld.php?id=8527 http://www.securityfocus.com/bid/37120 http://www.vupen.com/english/advisories/2009/3324 https://exchange.xforce.ibmcloud.com/vulnerabilities/54396 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 4%CPEs: 5EXPL: 1CVE-2007-0896 – Sage 1.3.6 - Extension Feed HTML Injection
https://notcve.org/view.php?id=CVE-2007-0896
Cross-site scripting (XSS) vulnerability in the (1) Sage before 1.3.10, and (2) Sage++ extensions for Firefox, allows remote attackers to inject arbitrary web script or HTML via a "<SCRIPT/=''SRC='" sequence in an RSS feed, a different vulnerability than CVE-2006-4712. Una vulnerabilidad de tipo cross-site scripting(XSS) en (1) Sage versiones anteriores a 1.3.10, y (2) extensiones de Sage++ para Firefox, permite a atacantes remotos inyectar script web o HTML arbitrario a por medio de una secuencia "(SCRIPT/=''SRC='" en un fuente RSS, una vulnerabilidad diferente de CVE-2006-4712. • https://www.exploit-db.com/exploits/29573 http://jvn.jp/jp/JVN%2384430861/index.html http://mozdev.org/bugs/show_bug.cgi?id=16320 http://osvdb.org/33131 http://sage.mozdev.org/blog/archives/2007/1/sage_1_3_10_released.html http://secunia.com/advisories/24086 http://www.securityfocus.com/bid/22493 http://www.securitytracker.com/id?1017624 https://exchange.xforce.ibmcloud.com/vulnerabilities/32395 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.8EPSS: 5%CPEs: 1EXPL: 2CVE-2006-6919 – Sage 1.3.6 - Input Validation
https://notcve.org/view.php?id=CVE-2006-6919
Firefox Sage extension 1.3.8 and earlier allows remote attackers to execute arbitrary Javascript in the local context via an RSS feed with an img tag containing the script followed by an extra trailing ">", which Sage modifies to close the img element before the malicious script. Extensión Sage de Firefox 1.3.8 y versiones anteriores permite a atacantes remotos ejecutar código JavaScript de su elección en el contexto local mediante una entrada RSS con una etiqueta img conteniendo el scirpt seguido por un extra ">" final, que Sage modifica para cerrar el elemento img antes del script maligno. • https://www.exploit-db.com/exploits/28501 http://michaeldaw.org/md-hacks/rss-injection-in-sage-part-2 http://secunia.com/advisories/22809 http://www.securityfocus.com/archive/1/452010/100/0/threaded http://www.vupen.com/english/advisories/2006/4426 https://exchange.xforce.ibmcloud.com/vulnerabilities/30179 •
CVSS: 6.8EPSS: 8%CPEs: 1EXPL: 2CVE-2006-4712
https://notcve.org/view.php?id=CVE-2006-4712
Multiple cross-site scripting (XSS) vulnerabilities in Sage 1.3.6 allow remote attackers to inject arbitrary web script or HTML via JavaScript in a content:encoded element within an item element in an RSS feed, as demonstrated by four example content:encoded elements that use XMLHttpRequest to read arbitrary local files, aka "Cross Context Scripting." Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Sage 1.3.6 permite a un atacante remoto inyectar secuencias de comandos web o HTMl de su elección a través de JavaScript en un contenido: elemento codificado dentro de un elemento del artículo en un alimentador RSS, como quedo demostrado por cuatrp ejemplos: elementos codificados que utilizaban XMLHttpRequest para leer archivos locales arbitrarios, también conocidos como “secuencia de comandos de sitios cruzados” . • http://downloads.securityfocus.com/vulnerabilities/exploits/sage-inputvalidation.xml http://secunia.com/advisories/21839 http://securityreason.com/securityalert/1558 http://www.gnucitizen.org/blog/cross-context-scripting-with-sage http://www.intertwingly.net/blog/2006/08/09/Attack-Delivery-TestSuite http://www.securityfocus.com/archive/1/445648/100/0/threaded http://www.securityfocus.com/bid/19928 http://www.snellspace.com/wp/?p=410 http://www.snellspace.com/wp/?p=448 http://ww • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •