CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2015-5204
https://notcve.org/view.php?id=CVE-2015-5204
CRLF injection vulnerability in the Apache Cordova File Transfer Plugin (cordova-plugin-file-transfer) for Android before 1.3.0 allows remote attackers to inject arbitrary headers via CRLF sequences in the filename of an uploaded file. Vulnerabilidad de inyección CRLF en Apache Cordova File Transfer Plugin (cordova-plugin-file-transfer) para Android en versiones anteriores a 1.3.0 permite a atacantes remotos inyectar cabeceras arbitrarias a través de secuencias CRLF en el nombre de archivo de un archivo cargado. • http://www.securityfocus.com/bid/76832 https://cordova.apache.org/news/2015/09/21/file-transfer-release.html •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2014-0072
https://notcve.org/view.php?id=CVE-2014-0072
ios/CDVFileTransfer.m in the Apache Cordova File-Transfer standalone plugin (org.apache.cordova.file-transfer) before 0.4.2 for iOS and the File-Transfer plugin for iOS from Cordova 2.4.0 through 2.9.0 might allow remote attackers to spoof SSL servers by leveraging a default value of true for the trustAllHosts option. ios/CDVFileTransfer.m en el plugin independiente Apache Cordova File-Transfer (org.apache.cordova.file-transfer) en versiones anteriores a la 0.4.2 para iOS y el plugin File-Transfer para iOS de Cordova desde la versión 2.4.0 hasta la 2.9.0 podría permitir que atacantes remotos suplanten servidores SSL aprovechando un valor true por defecto para la opción trustAllHosts. • http://d3adend.org/blog/?p=403 http://seclists.org/fulldisclosure/2014/Mar/29 http://www.securityfocus.com/archive/1/531335/100/0/threaded https://exchange.xforce.ibmcloud.com/vulnerabilities/91561 https://github.com/apache/cordova-plugin-file-transfer/commit/a1d6fc07e8a40c1b2b16f4103c403b30e1089668 https://mail-archives.apache.org/mod_mbox/cordova-dev/201403.mbox/%3CCAK_TSXKL9JtkehHC0jEoRwdvVKXt-d5uj40EwNY-Gk3ttX=wJw%40mail.gmail.com%3E • CWE-20: Improper Input Validation •