CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 4CVE-2019-12970 – Ubuntu Security Notice USN-4669-1
https://notcve.org/view.php?id=CVE-2019-12970
01 Jul 2019 — XSS was discovered in SquirrelMail through 1.4.22 and 1.5.x through 1.5.2. Due to improper handling of RCDATA and RAWTEXT type elements, the built-in sanitization mechanism can be bypassed. Malicious script content from HTML e-mail can be executed within the application context via crafted use of (for example) a NOEMBED, NOFRAMES, NOSCRIPT, or TEXTAREA element. Se detectó un XSS en SquirrelMail hasta la versión 1.4.22 y versión 1.5.x hasta 1.5.2. Debido al manejo inapropiado de los elementos de tipo RCDATA ... • https://packetstorm.news/files/id/153495 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14950
https://notcve.org/view.php?id=CVE-2018-14950
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via a "<svg><a xlink:href=" attack. La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante un ataque " • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14951
https://notcve.org/view.php?id=CVE-2018-14951
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via a "<form action='data:text" attack. La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante un ataque " • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14952
https://notcve.org/view.php?id=CVE-2018-14952
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via a "<math><maction xlink:href=" attack. La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante un ataque " • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14953
https://notcve.org/view.php?id=CVE-2018-14953
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via a "<math xlink:href=" attack. La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante un ataque " • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14954
https://notcve.org/view.php?id=CVE-2018-14954
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via the formaction attribute. La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante el atributo formaction. • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-14955
https://notcve.org/view.php?id=CVE-2018-14955
05 Aug 2018 — The mail message display page in SquirrelMail through 1.4.22 has XSS via SVG animations (animate to attribute). La página de visualización de mensajes de email en SquirrelMail hasta la versión 1.4.22 tiene Cross-Site Scripting (XSS) mediante animaciones SVG (animate to attribute). • http://www.openwall.com/lists/oss-security/2018/07/26/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 91EXPL: 0CVE-2011-2752 – SquirrelMail: CRLF injection vulnerability
https://notcve.org/view.php?id=CVE-2011-2752
17 Jul 2011 — CRLF injection vulnerability in SquirrelMail 1.4.21 and earlier allows remote attackers to modify or add preference values via a \n (newline) character, a different vulnerability than CVE-2010-4555. Vulnerabilidad de inyección CRLF (se refiere a CR (retorno de carro) y LF (salto de línea)en SquirrelMail v1.4.21 y anteriores, que permite a atacantes remotos modificar o añadir valores de preferencia a través de un retorno de carro o nueva línea de carácter. Es una vulnerabilidad diferente a CVE-2010-4555. • http://rhn.redhat.com/errata/RHSA-2012-0103.html • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.8EPSS: 0%CPEs: 91EXPL: 0CVE-2011-2753 – SquirrelMail: CSRF in the empty trash feature and in Index Order page
https://notcve.org/view.php?id=CVE-2011-2753
17 Jul 2011 — Multiple cross-site request forgery (CSRF) vulnerabilities in SquirrelMail 1.4.21 and earlier allow remote attackers to hijack the authentication of unspecified victims via vectors involving (1) the empty trash implementation and (2) the Index Order (aka options_order) page, a different issue than CVE-2010-4555. Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en SquirrelMail v1.4.21 y anteriores permite a atacantes remotos secuestrar la autenticación de las víctimas a travé... • http://rhn.redhat.com/errata/RHSA-2012-0103.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 91EXPL: 0CVE-2010-4554 – SquirrelMail: Prone to clickjacking attacks
https://notcve.org/view.php?id=CVE-2010-4554
14 Jul 2011 — functions/page_header.php in SquirrelMail 1.4.21 and earlier does not prevent page rendering inside a frame in a third-party HTML document, which makes it easier for remote attackers to conduct clickjacking attacks via a crafted web site. functions/page_header.php en SquirrelMail v1.4.21 y anteriores no previene el renderizado de páginas dentro de un marco en un documento HTML de terceros, haciéndolo más fácil a atacantes remotos para realizar ataques de clickjacking mediante un sitio web manipulado. • http://lists.apple.com/archives/security-announce/2012/Feb/msg00000.html • CWE-20: Improper Input Validation •