CVE-2008-6570
https://notcve.org/view.php?id=CVE-2008-6570
Cross-site scripting (XSS) vulnerability in the RSS reader in Cybozu Garoon 2.0.0 through 2.1.3 allows remote attackers to inject arbitrary web script or HTML via a crafted RSS feed. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados - XSS - en el lector RSS en Cybozu Garoon v2.0.0 hasta v2.1.3, lo que permite a los atacantes remotos inyectar arbitrariamente una secuencia de comandos web o HTML a través de una entrada RSS manipulada. • http://cybozu.co.jp/products/dl/notice/detail/0023.html http://jvn.jp/en/jp/JVN52363223/index.html http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000035.html http://osvdb.org/46565 http://secunia.com/advisories/30871 http://www.lac.co.jp/english/advisory/99_e.html http://www.securityfocus.com/bid/29981 https://exchange.xforce.ibmcloud.com/vulnerabilities/43426 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-6569
https://notcve.org/view.php?id=CVE-2008-6569
Session fixation vulnerability in Cybozu Garoon 2.0.0 through 2.1.3 allows remote attackers to hijack web sessions via the session ID in the login page. Vulnerabilidad de fijación de sesión en Cybozu Garoon v2.0.0 a la v2.1.3, permite a atacantes remotos secuestrar sesiones web a través del ID de sesión en la página de login. • http://cybozu.co.jp/products/dl/notice/detail/0021.html http://jvn.jp/en/jp/JVN18700809/index.html http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000034.html http://osvdb.org/46564 http://secunia.com/advisories/30871 http://www.lac.co.jp/info/advisory/98.html http://www.securityfocus.com/bid/29981 https://exchange.xforce.ibmcloud.com/vulnerabilities/43427 • CWE-287: Improper Authentication •
CVE-2006-4444 – Cybuzu Garoon 2.1.0 - Multiple SQL Injections
https://notcve.org/view.php?id=CVE-2006-4444
Multiple SQL injection vulnerabilities in Cybozu Garoon 2.1.0 for Windows allow remote authenticated users to execute arbitrary SQL commands via the (1) tid parameter in the (a) todo/view (aka TODO List View), (b) todo/modify (aka TODO List Modify), or (c) todo/delete functionality; the (2) pid parameter in the (d) workflow/view or (e) workflow/print functionality; the (3) uid parameter in the (f) schedule/user_view, (g) phonemessage/add, (h) phonemessage/history, or (i) schedule/view functionality; the (4) cid parameter in (j) todo/index; the (5) iid parameter in the (k) memo/view or (l) memo/print functionality; or the (6) event parameter in the (m) schedule/view functionality. Múltiples vulnerabilidades de inyección SQL en Cybozu Garoon 2.1.0 para Windows permiten a usuarios remotos autenticados ejecutar comandos SQL de su elección mediante el (1) parámetro tid en la funcionalidad (a) todo/view (también conocido como TODO List View), (b) todo/modify (también conocido como TODO List Modify), o (c) todo/delete; el (2) parámetro pid en la funcionalidad (d) workflow/view o (e) workflow/print; el (3) parámetro uid en la funcionalidad (f) schedule/user_view, (g) phonemessage/add, (h) phonemessage/history, o (i) schedule/view; el (4) parámetro cid en (j) todo/index; el (5) parámetro iid en la funcionalidad (k) memo/view o (l) memo/print; o el (6) parámetro event en la funcionalidad (m) schedule/view. • https://www.exploit-db.com/exploits/2267 http://cybozu.co.jp/products/dl/notice_060825 http://secunia.com/advisories/21664 http://vuln.sg/cybozugaroon-en.html http://www.osvdb.org/28361 http://www.osvdb.org/28362 http://www.osvdb.org/28363 http://www.osvdb.org/28364 http://www.osvdb.org/28365 http://www.osvdb.org/28366 http://www.securityfocus.com/bid/19731 http://www.vupen.com/english/advisories/2006/3399 https://exchange.xforce.ibmcloud.com/vu •