CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-14466
https://notcve.org/view.php?id=CVE-2019-14466
The GOsa_Filter_Settings cookie in GONICUS GOsa 2.7.5.2 is vulnerable to PHP objection injection, which allows a remote authenticated attacker to perform file deletions (in the context of the user account that runs the web server) via a crafted cookie value, because unserialize is used to restore filter settings from a cookie. La cookie de GOsa_Filter_Settings en GONICUS GOsa versión 2.7.5.2, es vulnerable a una inyección de objeciones de PHP, lo que permite a un atacante autenticado remoto llevar a cabo eliminaciones de archivos (en el contexto de la cuenta de usuario que ejecuta el servidor web) por medio de un valor de cookie especialmente diseñado, ya que una deserialización es usada para restaurar la configuración del filtro desde una cookie. • https://github.com/gosa-project/gosa-core/pull/29 https://lists.debian.org/debian-lts-announce/2019/08/msg00039.html • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-11187
https://notcve.org/view.php?id=CVE-2019-11187
Incorrect Access Control in the LDAP class of GONICUS GOsa through 2019-04-11 allows an attacker to log into any account with a username containing the case-insensitive substring "success" when an arbitrary password is provided. Un Control de Acceso Incorrecto en la clase LDAP de GONICUS GOsa hasta el 11-04-2019, permite que un atacante inicie sesión en cualquier cuenta con un nombre de usuario que contiene la subcadena insensible a mayúsculas y minúsculas "success" cuando se proporciona una contraseña arbitraria. • https://github.com/gonicus/gosa/commits/master https://lists.debian.org/debian-lts-announce/2019/08/msg00009.html • CWE-287: Improper Authentication •