CVSS: 6.1EPSS: 1%CPEs: 4EXPL: 0CVE-2016-1000108
https://notcve.org/view.php?id=CVE-2016-1000108
yaws before 2.0.4 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. yaws versiones anteriores a la versión 2.0.4, no intenta abordar los conflictos de espacio de nombres de RFC sección 3875 versión 4.1.18 y, por lo tanto, no protege las aplicaciones CGI de la presencia de datos de clientes no seguros en la variable de entorno HTTP_PROXY, lo que podría permitir a atacantes remotos redireccionar el tráfico HTTP saliente de la aplicación CGI hacia un servidor proxy arbitrario por medio de un encabezado Proxy especialmente diseñado en una petición HTTP, también se conoce como un problema "httpoxy". • http://www.openwall.com/lists/oss-security/2016/07/18/6 https://github.com/klacke/yaws/commit/9d8fb070e782c95821c90d0ca7372fc6d7316c78#diff-54053c47eb173a90c26ed19bd9d106c1 https://raw.githubusercontent.com/distributedweaknessfiling/cvelist/master/2016/1000xxx/CVE-2016-1000108.json https://security-tracker.debian.org/tracker/CVE-2016-1000108 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.0EPSS: 18%CPEs: 27EXPL: 1CVE-2009-0751 – Yaws < 1.80 - Multiple Headers Remote Denial of Service Vulnerabilities
https://notcve.org/view.php?id=CVE-2009-0751
Yaws before 1.80 allows remote attackers to cause a denial of service (memory consumption and crash) via a request with a large number of headers. Vulnerabilidad en el servidor web Yaws en sus versiones anteriores a v1.30 que permite a atacantes remotos causar una denegación de servicio (agotamiento de la memoria y caída del servicio) a través de peticiones con un gran número de cabeceras. • https://www.exploit-db.com/exploits/8148 http://secunia.com/advisories/33979 http://secunia.com/advisories/34239 http://www.debian.org/security/2009/dsa-1740 http://www.openwall.com/lists/oss-security/2009/02/19/1 http://www.securityfocus.com/bid/33834 http://www.vupen.com/english/advisories/2009/0590 http://yaws.hyber.org • CWE-399: Resource Management Errors •