CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-1900
https://notcve.org/view.php?id=CVE-2016-1900
CRLF injection vulnerability in the cgit_print_http_headers function in ui-shared.c in CGit before 0.12 allows remote attackers with permission to write to a repository to inject arbitrary HTTP headers and conduct HTTP response splitting attacks or cross-site scripting (XSS) attacks via newline characters in a filename. Vulnerabilidad de inyección CRLF en la función cgit_print_http_headers en ui-shared.c en CGit en versiones anteriores a 0.12 permite a atacantes remotos con permisos para escribir en un repositorio inyectar cabeceras HTTP arbitrarias y realizar ataques de separación de respuesta HTTP o ataques XSS a través de caracteres de nueva línea en un nombre de archivo. • http://git.zx2c4.com/cgit/commit/?id=513b3863d999f91b47d7e9f26710390db55f9463 http://lists.fedoraproject.org/pipermail/package-announce/2016-January/176167.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/176198.html http://lists.opensuse.org/opensuse-updates/2016-01/msg00067.html http://lists.opensuse.org/opensuse-updates/2016-01/msg00084.html http://lists.zx2c4.com/pipermail/cgit/2016-January/002790.html http://lists.zx2c4.com/pipermail/cgit/2016-January/002817.html http:// •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2016-1899
https://notcve.org/view.php?id=CVE-2016-1899
CRLF injection vulnerability in the ui-blob handler in CGit before 0.12 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks or cross-site scripting (XSS) attacks via CRLF sequences in the mimetype parameter, as demonstrated by a request to blob/cgit.c. Vulnerabilidad de inyección CRLF en el manejador ui-blob en CGit en versiones anteriores a 0.12 permite a atacantes remotos inyectar cabeceras HTTP arbitrarias y realizar ataques de separación de respuesta HTTP o ataques XSS a través de secuencias CRLF en el parámetro mimetype, según lo demostrado por una petición ablob/cgit.c. • http://git.zx2c4.com/cgit/commit/?id=1c581a072651524f3b0d91f33e22a42c4166dd96 http://lists.fedoraproject.org/pipermail/package-announce/2016-January/176167.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/176198.html http://lists.opensuse.org/opensuse-updates/2016-01/msg00067.html http://lists.opensuse.org/opensuse-updates/2016-01/msg00084.html http://lists.zx2c4.com/pipermail/cgit/2016-January/002790.html http://lists.zx2c4.com/pipermail/cgit/2016-January/002817.html http:// •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 1CVE-2016-1494
https://notcve.org/view.php?id=CVE-2016-1494
The verify function in the RSA package for Python (Python-RSA) before 3.3 allows attackers to spoof signatures with a small public exponent via crafted signature padding, aka a BERserk attack. La función de verificación en el paquete RSA para Phython (Python-RSA) en versiones anteriores a 3.3 permite a atacantes falsificar firmas con un exponente público pequeño a través de un relleno de firma manipulado, también conocido como un ataque BERserk. • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175897.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175942.html http://lists.opensuse.org/opensuse-updates/2016-01/msg00032.html http://www.openwall.com/lists/oss-security/2016/01/05/1 http://www.openwall.com/lists/oss-security/2016/01/05/3 http://www.securityfocus.com/bid/79829 https://bitbucket.org/sybren/python-rsa/pull-requests/14/security-fix-bb06-attack-in-verify-by/diff https: • CWE-20: Improper Input Validation •
CVSS: 7.4EPSS: 0%CPEs: 3EXPL: 0CVE-2015-8400
https://notcve.org/view.php?id=CVE-2015-8400
The HTTPS fallback implementation in Shell In A Box (aka shellinabox) before 2.19 makes it easier for remote attackers to conduct DNS rebinding attacks via the "/plain" URL. La implementación de retorno de HTTPS en Shell In A Box (también conocido como shellinabox) en versiones anteriores a 2.19 hace que sea mas fácil para atacantes remotos llevar a cabo ataques de revinculación DNS a través de la URL "/plain". • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175117.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175224.html http://www.openwall.com/lists/oss-security/2015/12/02/6 http://www.openwall.com/lists/oss-security/2015/12/02/7 https://github.com/shellinabox/shellinabox/issues/355 https://github.com/shellinabox/shellinabox/releases/tag/v2.19 • CWE-254: 7PK - Security Features •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 0CVE-2016-1232
https://notcve.org/view.php?id=CVE-2016-1232
The mod_dialback module in Prosody before 0.9.9 does not properly generate random values for the secret token for server-to-server dialback authentication, which makes it easier for attackers to spoof servers via a brute force attack. El módulo mod_dialback en Prosody en versiones anteriores a 0.9.9 no genera adecuadamente valores aleatorios para para el token secreto en la autenticación de devolución de llamada de servidor a servidor, lo que hace que sea más fácil para atacantes suplantar servidores a través de un ataque de fuerza bruta. • http://blog.prosody.im/prosody-0-9-9-security-release http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175829.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175868.html http://www.debian.org/security/2016/dsa-3439 http://www.openwall.com/lists/oss-security/2016/01/08/5 https://prosody.im/issues/issue/571 https://prosody.im/security/advisory_20160108-2 •