CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6035
https://notcve.org/view.php?id=CVE-2019-6035
Open redirect vulnerability in Athenz v1.8.24 and earlier allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a specially crafted page. Una vulnerabilidad de redireccionamiento abierto en Athenz versión v1.8.24 y anteriores, permite a atacantes remotos redireccionar a usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing por medio de una página especialmente diseñada. • http://jvn.jp/en/jp/JVN57070811/index.html https://github.com/yahoo/athenz https://github.com/yahoo/athenz/pull/700 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2017-2253
https://notcve.org/view.php?id=CVE-2017-2253
Untrusted search path vulnerability in Installer of Yahoo! Toolbar (for Internet explorer) v8.0.0.6 and earlier, with its timestamp prior to June 13, 2017, 18:18:55 allows an attacker to gain privileges via a Trojan horse DLL in an unspecified directory. Una vulnerabilidad de ruta (path) de búsqueda no confiable en el instalador de Yahoo! Toolbar (para Internet explorer) versión v8.0.0.6 y anteriores, con su marca de tiempo anterior al 13 de junio de 2017, 18:18:55, permite a un atacante alcanzar privilegios por medio de una DLL de tipo caballo de Troya en un directorio no especificado. • https://jvn.jp/en/jp/JVN02852421/index.html • CWE-426: Untrusted Search Path •
CVSS: 9.3EPSS: 3%CPEs: 1EXPL: 1CVE-2014-7216
https://notcve.org/view.php?id=CVE-2014-7216
Multiple stack-based buffer overflows in Yahoo! Messenger 11.5.0.228 and earlier allow remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via the (1) shortcut or (2) title keys in an emoticons.xml file. Múltiples desbordamientos de buffer basado en pila en Yahoo! Messenger 11.5.0.228 y versiones anteriores, permite a atacantes remotos causar una denegación de servicio (colapso) y posiblemente ejecutar código arbitrario a través del (1) acceso directo o de (2) las claves de título en un archivo emoticons.xml. • http://packetstormsecurity.com/files/133443/Yahoo-Messenger-11.5.0.228-Buffer-Overflow.html http://seclists.org/fulldisclosure/2015/Sep/24 http://www.securityfocus.com/archive/1/536390/100/0/threaded http://www.securitytracker.com/id/1033544 https://hackerone.com/reports/10767 https://www.rcesecurity.com/2015/09/cve-2014-7216-a-journey-through-yahoos-bug-bounty-program • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2014-5881
https://notcve.org/view.php?id=CVE-2014-5881
The Yahoo! Japan Box (aka jp.co.yahoo.android.ybox) application 1.5.1 for Android does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate. La aplicación Yahoo! Japan Box (también conocida como jp.co.yahoo.android.ybox) 1.5.1 para Android no verifica los certificados X.509 de los servidores SSL, lo que podría permitir a atacantes man-in-the-middle suplantar servidores y obtener información sensible a través de un certificado manipulado. • http://jvn.jp/en/jp/JVN48270605/index.html http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000116.html http://www.kb.cert.org/vuls/id/228385 http://www.kb.cert.org/vuls/id/582497 https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing • CWE-310: Cryptographic Issues •
CVSS: 7.1EPSS: 0%CPEs: 2EXPL: 2CVE-2014-4603 – Yahoo Updates For WordPress <= 1.0 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2014-4603
Multiple cross-site scripting (XSS) vulnerabilities in yupdates_application.php in the Yahoo! Updates for WordPress plugin 1.0 and earlier for WordPress allow remote attackers to inject arbitrary web script or HTML via the (1) secret, (2) key, or (3) appid parameter. Múltiples vulnerabilidades de XSS en yupdates_application.php en el plugin Yahoo! Updates for WordPress 1.0 y anteriores para WordPress permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro (1) secret, (2) key, o (3) appid. • http://codevigilant.com/disclosure/wp-plugin-yahoo-updates-for-wordpress-a3-cross-site-scripting-xss http://www.securityfocus.com/bid/68401 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •