14 results (0.014 seconds)

CVSS: 9.3EPSS: 6%CPEs: 43EXPL: 0

Skype 3.6.0.248, and other versions before 3.8.0.139, uses a case-sensitive comparison when checking for dangerous extensions, which allows user-assisted remote attackers to bypass warning dialogs and possibly execute arbitrary code via a file: URI with a dangerous extension that uses a different case. Skype 3.6.0.248 y otras versiones anteriores a 3.8.0.139, utiliza comparaciones sensibles a mayúsculas y minúsculas cuando revisa extensiones peligrosas, las cuales permiten a atacantes remotos asistidos por el usuario evitar diálogos de aviso y posibilita la ejecución de código de su elección a través de un archivo: URI con una extensión peligrosa que utiliza un caso diferente. • http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=711 http://secunia.com/advisories/30547 http://www.securityfocus.com/bid/29553 http://www.securitytracker.com/id?1020201 http://www.skype.com/security/skype-sb-2008-003.html http://www.vupen.com/english/advisories/2008/1749/references https://exchange.xforce.ibmcloud.com/vulnerabilities/43044 • CWE-20: Improper Input Validation •

CVSS: 9.3EPSS: 5%CPEs: 43EXPL: 0

Incomplete blacklist vulnerability in Skype 3.6.0.248, and other versions before 3.8.0.139, allows user-assisted remote attackers to bypass warning dialogs and possibly execute arbitrary code via a file: URI that ends in an executable extension that is not covered by the blacklist. Vulnerabilidad de lista negra incompleta en Skype 3.6.0.248 y otras versiones anteriores a 3.8.0.139; permite a atacantes remotos con la ayuda del usuario evitar los diálogos de aviso y posibilita la ejecución de código de su elección a través de un archivo: URI que finaliza en una extensión ejecutable que no está incluida en la lista negra. • http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=711 http://secunia.com/advisories/30547 http://www.securityfocus.com/bid/29553 http://www.securitytracker.com/id?1020201 http://www.skype.com/security/skype-sb-2008-003.html http://www.vupen.com/english/advisories/2008/1749/references • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 1%CPEs: 4EXPL: 2

Cross-zone scripting vulnerability in the Internet Explorer web control in Skype 3.6.0.244, and earlier 3.5.x and 3.6.x versions, on Windows allows user-assisted remote attackers to inject arbitrary web script or HTML in the Local Machine Zone via the Description and unspecified other metadata fields of a Metacafe movie submitted by Metacafe Pro to the Skype video gallery, accessible through a search within the (1) "Add video to chat" or (2) "Add video to mood" dialog, a different vector than CVE-2008-0454. Vulnerabilidad de secuencias de comandos en zonas cruzadas en el control web de Internet Explorer en Skype 3.6.0.244 y las versiones anteriores 3.5.x y 3.6.x. En Windows permite que atacantes remotos con la intervención del usuario puedan inyectar secuencias de comandos web o HTMLs de su elección en la Zona de la Máquina Local a través de Description (descripción) y otros campos metadata sin especificar de una película Metacafe enviada por Metacafe Pro a la galería de vídeo de Skype. Lo hace accesible a través de una búsqueda dentro de el diálogo (1) "Add video to chat (Añadir el vídeo al chat)" o (2) "Add video to mood (Añadir vídeo al modo)" , un vector distinto a CVE-2008-0454. • http://aviv.raffon.net/2008/01/22/NoMoreVideosForYouComeBackWhenPatchAvailable.aspx http://skype.com/security/skype-sb-2008-001-update1.htm http://www.kb.cert.org/vuls/id/794236 http://www.securityfocus.com/bid/27338 https://exchange.xforce.ibmcloud.com/vulnerabilities/39754 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0

Cross-zone scripting vulnerability in the Internet Explorer web control in Skype 3.1 through 3.6.0.244 on Windows allows remote attackers to inject arbitrary web script or HTML in the Local Machine Zone via the Full Name field of a reviewer of a business item entry, accessible through (1) the SkypeFind dialog and (2) a skype:?skypefind URI for the skype: URI handler. Vulnerabilidad de secuencias de comandos en zonas cruzadas en el control web Internet Explorer en Skype 3.1 hasta 3.6.0.244 en Windows permite a atacantes remotos inyectar web script o HTML de su elección en Local Machine Zone mediante el campo Full Name de un revisor de una entrada de negocios, accesible a través de (1) el diálogo SkypeFind y (2) un skype:?URI de skypefind para el skype: URI handler. • http://aviv.raffon.net/2008/01/31/AttackersCanSkypeFindYou.aspx http://www.kb.cert.org/vuls/id/794236 http://www.securityfocus.com/archive/1/487370/100/0/threaded http://www.securityfocus.com/bid/27338 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 9.3EPSS: 43%CPEs: 5EXPL: 0

Cross-zone scripting vulnerability in the Internet Explorer web control in Skype 3.6.0.244, and earlier 3.5.x and 3.6.x versions, on Windows allows user-assisted remote attackers to inject arbitrary web script or HTML in the Local Machine Zone via the Title field of a (1) Dailymotion and possibly (2) Metacafe movie in the Skype video gallery, accessible through a search within the "Add video to chat" dialog, aka "videomood XSS." Vulnerabilidad de secuencias de comandos en zonas cruzadas en el control web Internet Explorer de Skype 3.6.0.244, y versiones anteriores 3.5.x y 3.6.x en Windows, permite a atacantes remotos con la complicidad del usuario inyectar secuencias de comandos web o HTML de su elección en la Zona de Máquina Local mediante el campo Title de un (1) Dailymotion y posiblemente (2) una película Metacafe en la galería de vídeos de Skype, accesible a través de una búsqueda dentro del diálogo "Add video to chat", también conocido como "videomood XSS". • http://archives.neohapsis.com/archives/fulldisclosure/2008-01/0337.html http://archives.neohapsis.com/archives/fulldisclosure/2008-01/0363.html http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx http://share.skype.com/sites/security/2008/01/skype_cross_zone_scripting_vul.html http://skype.com/security/skype-sb-2008-001-update1.html http://skype.com/security/skype-sb-2008-001.html http://www.critical.lt/?opinions/show/1470 http://www.gnucitizen.org/blog/vulnerabilit • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •