CVE-2019-6724
https://notcve.org/view.php?id=CVE-2019-6724
The barracudavpn component of the Barracuda VPN Client prior to version 5.0.2.7 for Linux, macOS, and OpenBSD runs as a privileged process and can allow an unprivileged local attacker to load a malicious library, resulting in arbitrary code executing as root. El componente barracudavpn de Barracuda VPN Client, en versiones anteriores a la 5.0.2.7 para Linux, macOS y OpenBSD, se ejecuta como proceso privilegiado y puede permitir que un atacante local sin privilegios cargue una librería maliciosa, lo que resulta en la ejecución de código arbitrario como root. • http://campus.barracuda.com/product/networkaccessclient/doc/78154147/release-notes-barracuda-vpn-client-for-macos https://blog.mirch.io/2019/02/14/cve-2019-6724-barracuda-vpn-client-privilege-escalation-on-linux-and-macos https://campus.barracuda.com/product/networkaccessclient/doc/78154149/release-notes-barracuda-vpn-client-for-linux • CWE-426: Untrusted Search Path •
CVE-2018-20369
https://notcve.org/view.php?id=CVE-2018-20369
Barracuda Message Archiver 2018 has XSS in the error_msg exception-handling value for the ldap_user parameter to the cgi-mod/ldap_load_entry.cgi module. The injection point of the issue is the Add_Update module. Barracuda Message Archiver 2018 tiene Cross-Site Scripting (XSS) en el valor de manejo de excepciones error_msg para el parámetro ldap_user del módulo cgi-mod/ldap_load_entry.cgi. El punto de inyección de este problema está en el módulo Add_Update. • https://www.vulnerability-lab.com/get_content.php?id=2168 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-6320 – Barracuda Load Balancer Firmware < 6.0.1.006 - Remote Command Injection
https://notcve.org/view.php?id=CVE-2017-6320
A remote command injection vulnerability exists in the Barracuda Load Balancer product line (confirmed on v5.4.0.004 (2015-11-26) and v6.0.1.006 (2016-08-19); fixed in 6.1.0.003 (2017-01-17)) in which an authenticated user can execute arbitrary shell commands and gain root privileges. The vulnerability stems from unsanitized data being processed in a system call when the delete_assessment command is issued. Se presenta una vulnerabilidad de inyección de comando remota en la línea de productos de Barracuda Load Balancer (confirmada en versión v5.4.0.004 (2015-11-26) y versión v6.0.1.006 (2016-08-19); corregida en versión 6.1.0.003 (2017- 01-17), en el que un usuario autenticado puede ejecutar comandos shell arbitrarios y obtener privilegios root. La vulnerabilidad se debe a que los datos no saneados son procesados en una llamada del sistema cuando se emite el comando delete_assessment. • https://www.exploit-db.com/exploits/42333 https://campus.barracuda.com/product/loadbalanceradc/article/ADC/ReleaseNotes610003 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2015-0961
https://notcve.org/view.php?id=CVE-2015-0961
Barracuda Web Filter before 8.1.0.005, when SSL Inspection is enabled, does not verify X.509 certificates from upstream SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate. Barracuda Web Filter anterior a 8.1.0.005, cuando SSL Inspection está habilitada, no verifica los certificados X.509 de servidores SSL previos, lo que permite a atacantes man-in-the-middle falsificar servidores y obtener información sensible a través de un certificado manipulado. • http://www.kb.cert.org/vuls/id/534407 https://blog.barracuda.com/2015/04/28/barracuda-delivers-updated-ssl-inspection-feature https://techlib.barracuda.com/BWF/UpdateSSLCerts https://www.barracuda.com/support/techalerts •
CVE-2015-0962
https://notcve.org/view.php?id=CVE-2015-0962
Barracuda Web Filter 7.x and 8.x before 8.1.0.005, when SSL Inspection is enabled, uses the same root Certification Authority certificate across different customers' installations, which makes it easier for remote attackers to conduct man-in-the-middle attacks against SSL sessions by leveraging the certificate's trust relationship. Barracuda Web Filter 7.x y 8.x anterior a 8.1.0.005, cuando SSL Inspection está habilitada, utiliza el mismo certificado root de la autoridad certificadora en las instalaciones de clientes diferentes, lo que facilita a atacantes remotos realizar ataques man-in-the-middle contra sesiones SSL mediante el aprovechamiento de la relación de confianza del certificado. • http://www.kb.cert.org/vuls/id/534407 https://blog.barracuda.com/2015/04/28/barracuda-delivers-updated-ssl-inspection-feature https://techlib.barracuda.com/BWF/UpdateSSLCerts https://www.barracuda.com/support/techalerts • CWE-18: DEPRECATED: Source Code •