Vulnerabilidad desconocida en los controles administrativos de Bugzilla 2.17.1 a 2.17.7 permite a usuarios con privilegios "grant membership" hacer miembros a grupos que el usuario no controla.
Tipo de Pérdida Protección de seguridad
Optención de algunos privilegios
Otra protección de seguridad
Tipo de vulnerabilidad Error de diseño
Entorno
Componente Expuesto: Aplicación servidora
Requirimientos del atacante Acceso Remoto
Nombre y enlace CVE: CAN-2004-0703
Enlace 1 Fuente: Security Focus
Tipo: General y Parche
Nombre: BID:10698
http://www.securityfocus.com/bid/10698Enlace 2 Fuente: ISS X-Force
Tipo: General
Nombre: bugzilla-editusers-gain-privileges(16672)
http://xforce.iss.net/xforce/xfdb/16672Enlace 3 Fuente: Bugtraq
Tipo: General
Nombre: 20040710 [BUGZILLA] Multiple vulnerabilities in Bugzilla 2.16.5 and 2.17.7
http://marc.theaimsgroup.com/?l=bugtraq&m=108965446813639&w=2 Productos Afectados: Mozilla - Bugzilla - 2.10
Mozilla - Bugzilla - 2.14.1
Mozilla - Bugzilla - 2.4
Mozilla - Bugzilla - 2.6
Mozilla - Bugzilla - 2.8
Mozilla - Bugzilla - 2.14
Mozilla - Bugzilla - 2.16
Mozilla - Bugzilla - 2.12
Mozilla - Bugzilla - 2.14.2
Mozilla - Bugzilla - 2.14.3
Mozilla - Bugzilla - 2.14.4
Mozilla - Bugzilla - 2.16.1
Mozilla - Bugzilla - 2.17
Mozilla - Bugzilla - 2.17.1
Mozilla - Bugzilla - 2.14.5
Mozilla - Bugzilla - 2.16.2
Mozilla - Bugzilla - 2.17.3
Mozilla - Bugzilla - 2.16.3
Mozilla - Bugzilla - 2.16.4
Mozilla - Bugzilla - 2.16.5
Mozilla - Bugzilla - 2.17.4
Mozilla - Bugzilla - 2.17.5
Mozilla - Bugzilla - 2.17.6
Mozilla - Bugzilla - 2.17.7
Vulnerabilidad desconocida en (1)duplicates.cgi y (2) buglist.cgi de Bugzilla 2.16.x anteriores a 2.16.6, 2.18 anteriores a 2.19rc1, cuando se configuran para esconder productos, permite a atacantes remotos ver los productos ocultos.
Tipo de Pérdida Confidencialidad
Tipo de vulnerabilidad Error de configuración
Componente Expuesto: Aplicación servidora
Requirimientos del atacante Acceso Remoto
Nombre y enlace CVE: CAN-2004-0704
Enlace 1 Fuente: Security Focus
Tipo: General y Parche
Nombre: BID:10698
http://www.securityfocus.com/bid/10698Enlace 2 Fuente: ISS X-Force
Tipo: General
Nombre: bugzilla-product-name-disclosure(16671)
http://xforce.iss.net/xforce/xfdb/16671Enlace 3 Fuente: Bugtraq
Tipo: General
Nombre: 20040710 [BUGZILLA] Multiple vulnerabilities in Bugzilla 2.16.5 and 2.17.7
http://marc.theaimsgroup.com/?l=bugtraq&m=108965446813639&w=2 Productos Afectados: Mozilla - Bugzilla - 2.10
Mozilla - Bugzilla - 2.14.1
Mozilla - Bugzilla - 2.4
Mozilla - Bugzilla - 2.6
Mozilla - Bugzilla - 2.8
Mozilla - Bugzilla - 2.14
Mozilla - Bugzilla - 2.16
Mozilla - Bugzilla - 2.12
Mozilla - Bugzilla - 2.14.2
Mozilla - Bugzilla - 2.14.3
Mozilla - Bugzilla - 2.14.4
Mozilla - Bugzilla - 2.16.1
Mozilla - Bugzilla - 2.17
Mozilla - Bugzilla - 2.17.1
Mozilla - Bugzilla - 2.14.5
Mozilla - Bugzilla - 2.16.2
Mozilla - Bugzilla - 2.17.3
Mozilla - Bugzilla - 2.16.3
Mozilla - Bugzilla - 2.16.4
Mozilla - Bugzilla - 2.16.5
Mozilla - Bugzilla - 2.17.4
Mozilla - Bugzilla - 2.17.5
Mozilla - Bugzilla - 2.17.6
Mozilla - Bugzilla - 2.17.7
Múltiples vulnerabilidades de secuencias de órdenes en sitios cruzados (XSS) en (1) editcomponents.cgi, (2) editgroups.cgi, (3) editmilestones.cgi, (4) editproducts.cgi, (5) editusers.cgi, y (6) editversions.cgi de Bugzilla 2.16.x anteriores a 2.16.6 y 2.18 anteriores a 2.18rc1, permite a atacantes remotos ejecutar código JavaScritp de su elección como otros usuarios mediante una parámetro en la URL.
Gravedad:Alta
Tipo de Pérdida Protección de seguridad
Otra protección de seguridad
Tipo de vulnerabilidad: Error de validación de entrada
Componente Expuesto: Aplicación servidora
Componente específico: editcomponents.cgi, (2) editgroups.cgi, (3) editmilestones.cgi, editproducts.cgi, editusers.cgi, editversions.cgi
Requirimientos del atacante: Acceso Remoto
Enlace 1 Fuente: Security Focus
Tipo: General y Parche
Nombre: BID:10698
http://www.securityfocus.com/bid/10698Enlace 2 Fuente: ISS X-Force
Tipo: General
Nombre: bugzilla-edit-xss(16670)
http://xforce.iss.net/xforce/xfdb/16670Enlace 3 Fuente: Bugtraq
Tipo: General
Nombre: 20040710 [BUGZILLA] Multiple vulnerabilities in Bugzilla 2.16.5 and 2.17.7
http://marc.theaimsgroup.com/?l=bugtraq&m=108965446813639&w=2Productos Afectados: Mozilla - Bugzilla - 2.10
Mozilla - Bugzilla - 2.14.1
Mozilla - Bugzilla - 2.4
Mozilla - Bugzilla - 2.6
Mozilla - Bugzilla - 2.8
Mozilla - Bugzilla - 2.14
Mozilla - Bugzilla - 2.16
Mozilla - Bugzilla - 2.12
Mozilla - Bugzilla - 2.14.2
Mozilla - Bugzilla - 2.14.3
Mozilla - Bugzilla - 2.14.4
Mozilla - Bugzilla - 2.16.1
Mozilla - Bugzilla - 2.17
Mozilla - Bugzilla - 2.17.1
Mozilla - Bugzilla - 2.14.5
Mozilla - Bugzilla - 2.16.2
Mozilla - Bugzilla - 2.17.3
Mozilla - Bugzilla - 2.16.3
Mozilla - Bugzilla - 2.16.4
Mozilla - Bugzilla - 2.16.5
Mozilla - Bugzilla - 2.17.4
Mozilla - Bugzilla - 2.17.5
Mozilla - Bugzilla - 2.17.6
Mozilla - Bugzilla - 2.17.7
Bugzilla 2.17.5 a 2.17.7 incluye la contaseña en una URL de una imagen, lo que podría permitir a usuarios locales ver la contraseña en los ficheros de registro del servidor web.
Tipo de Pérdida Confidencialidad
Tipo de vulnerabilidad Error de diseño
Componente Expuesto: Aplicación servidora
Requirimientos del atacante Acceso Local
Nombre y enlace CVE: CAN-2004-0706
Enlace 1 Fuente: Security Focus
Tipo: General y Parche
Nombre: BID:10698
http://www.securityfocus.com/bid/10698Enlace 2 Fuente: ISS X-Force
Tipo: General
Nombre: bugzilla-chart-view-password(16669)
http://xforce.iss.net/xforce/xfdb/16669Enlace 3 Fuente: Bugtraq
Tipo: General
Nombre: 20040710 [BUGZILLA] Multiple vulnerabilities in Bugzilla 2.16.5 and 2.17.7
http://marc.theaimsgroup.com/?l=bugtraq&m=108965446813639&w=2Productos Afectados: Mozilla - Bugzilla - 2.10
Mozilla - Bugzilla - 2.14.1
Mozilla - Bugzilla - 2.4
Mozilla - Bugzilla - 2.6
Mozilla - Bugzilla - 2.8
Mozilla - Bugzilla - 2.14
Mozilla - Bugzilla - 2.16
Mozilla - Bugzilla - 2.12
Mozilla - Bugzilla - 2.14.2
Mozilla - Bugzilla - 2.14.3
Mozilla - Bugzilla - 2.14.4
Mozilla - Bugzilla - 2.16.1
Mozilla - Bugzilla - 2.17
Mozilla - Bugzilla - 2.17.1
Mozilla - Bugzilla - 2.14.5
Mozilla - Bugzilla - 2.16.2
Mozilla - Bugzilla - 2.17.3
Mozilla - Bugzilla - 2.16.3
Mozilla - Bugzilla - 2.16.4
Mozilla - Bugzilla - 2.16.5
Mozilla - Bugzilla - 2.17.4
Mozilla - Bugzilla - 2.17.5
Mozilla - Bugzilla - 2.17.6
Mozilla - Bugzilla - 2.17.7
Vulnerabilidad de inyección de SQL en editusers.cgi en Bugzilla 2.16.x anteriores a 2.16.6, y 2.18 anterioresa a 2.18rc1, permite a atacantes remotos con privilegios otorgar privilegio de pertenencia a cualquier grupo para ejecutar SQL.
Gravedad: Alta
Tipo de Pérdida Protección de seguridad
Otra protección de seguridad
Tipo de vulnerabilidad Error de validación de entrada
Componente Expuesto: Aplicación servidora
Requirimientos del atacante Acceso Remoto
Nombre y enlace CVE: CAN-2004-0707
Enlace 1 Fuente: Security Focus
Tipo: General y Parche
Nombre: BID:10698
http://www.securityfocus.com/bid/10698Enlace 2 Fuente: ISS X-Force
Tipo: General
Nombre: bugzilla-editusers-sql-injection(16668)
http://xforce.iss.net/xforce/xfdb/16668Enlace 3 Fuente: Bugtraq
Tipo: General
Nombre: 20040710 [BUGZILLA] Multiple vulnerabilities in Bugzilla 2.16.5 and 2.17.7
http://marc.theaimsgroup.com/?l=bugtraq&m=108965446813639&w=2Productos Afectados: Mozilla - Bugzilla - 2.10
Mozilla - Bugzilla - 2.14.1
Mozilla - Bugzilla - 2.4
Mozilla - Bugzilla - 2.6
Mozilla - Bugzilla - 2.8
Mozilla - Bugzilla - 2.14
Mozilla - Bugzilla - 2.16
Mozilla - Bugzilla - 2.12
Mozilla - Bugzilla - 2.14.2
Mozilla - Bugzilla - 2.14.3
Mozilla - Bugzilla - 2.14.4
Mozilla - Bugzilla - 2.16.1
Mozilla - Bugzilla - 2.17
Mozilla - Bugzilla - 2.17.1
Mozilla - Bugzilla - 2.14.5
Mozilla - Bugzilla - 2.16.2
Mozilla - Bugzilla - 2.17.3
Mozilla - Bugzilla - 2.16.3
Mozilla - Bugzilla - 2.16.4
Mozilla - Bugzilla - 2.16.5
Mozilla - Bugzilla - 2.17.4
Mozilla - Bugzilla - 2.17.5
Mozilla - Bugzilla - 2.17.6
Mozilla - Bugzilla - 2.17.7
Información recogida de:
http://alerta-antivirus.red.es/index.html
