17 results (0.002 seconds)

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1

Multiple cross-site scripting (XSS) vulnerabilities in TorrentFlux 2.4 allow (1) remote attackers to inject arbitrary web script or HTML by leveraging failure to encode file contents when downloading a torrent file or (2) remote authenticated users to inject arbitrary web script or HTML via vectors involving a link to torrent details. Múltiples vulnerabilidades de Cross-Site Scripting (XSS) en TorrentFlux 2.4 permiten (1) que atacantes remotos inyecten scripts web o HTML arbitrarios aprovechando el error a la hora de codificar el contenido de los archivos al descargar un archivo torrent o (2) que usuarios autenticados remotos inyecten scripts web o HTML arbitrarios mediante vectores que implican un enlace a detalles de un torrent. • http://www.openwall.com/lists/oss-security/2014/09/02/3 http://www.securitytracker.com/id/1030791 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=759574 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 1

TorrentFlux 2.4 allows remote authenticated users to obtain other users' cookies via the cid parameter in an editCookies action to profile.php. TorrentFlux 2.4 permite a usuarios remotos autenticados obtener las cookies de otros usuarios a través del parámetro cid en una acción editCookies en profile.php. • http://www.openwall.com/lists/oss-security/2014/08/29/5 http://www.openwall.com/lists/oss-security/2014/09/02/3 http://www.securitytracker.com/id/1030791 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=759573 • CWE-20: Improper Input Validation •

CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1

TorrentFlux 2.4 allows remote authenticated users to delete or modify other users' cookies via the cid parameter in an editCookies action to profile.php. TorrentFlux 2.4 permite a usuarios remotos autenticados eliminar o modificar las cookies de otros usuarios a través del parámetro cid en una acción editCookies en profile.php. • http://www.openwall.com/lists/oss-security/2014/08/29/5 http://www.openwall.com/lists/oss-security/2014/09/02/3 http://www.securitytracker.com/id/1030791 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=759573 • CWE-20: Improper Input Validation •

CVSS: 6.0EPSS: 1%CPEs: 1EXPL: 1

html/index.php in TorrentFlux 2.3 allows remote authenticated users to execute arbitrary code via a URL with a file containing an executable extension in the url_upload parameter, which is downloaded by TorrentFlux and can be accessed via a direct request in a html/downloads/ user directory. html/index.php en TorrentFlux v2.3 permite a usuarios remotos autenticados ejecutar código de forma arbitraria a través de una URL con un fichero que contiene una extensión ejecutable en el parámetro "url_upload", que es descargado por TorrentFlux y puede ser accedido a través de una petición directa en el directorio de usuario html/downloads/ • http://osvdb.org/44645 http://secunia.com/advisories/29935 http://www.securityfocus.com/archive/1/491066/100/0/threaded http://www.securityfocus.com/bid/28846 https://exchange.xforce.ibmcloud.com/vulnerabilities/41925 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2

Cross-site request forgery (CSRF) vulnerability in html/admin.php in TorrentFlux 2.3 allows remote attackers to hijack the authentication of administrators for requests that add new accounts via the addUser action. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en html/admin.php en TorrentFlux v2.3 permite a atacantes remotos secuestrar la autenticación de los administradores para realizar peticiones que añadan nuevas cuentas a través de la acción "addUser". • https://www.exploit-db.com/exploits/31671 http://osvdb.org/44646 http://secunia.com/advisories/29935 http://www.securityfocus.com/archive/1/491066/100/0/threaded http://www.securityfocus.com/bid/28846 https://exchange.xforce.ibmcloud.com/vulnerabilities/41926 • CWE-352: Cross-Site Request Forgery (CSRF) •