CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2021-38562
https://notcve.org/view.php?id=CVE-2021-38562
Best Practical Request Tracker (RT) 4.2 before 4.2.17, 4.4 before 4.4.5, and 5.0 before 5.0.2 allows sensitive information disclosure via a timing attack against lib/RT/REST2/Middleware/Auth.pm. Best Practical Request Tracker (RT) versiones 4.2 anteriores a 4.2.17, versiones 4.4 anteriores a 4.4.5, y versiones 5.0 anteriores a 5.0.2, permite una divulgación de información confidencial por medio de un ataque de tiempo contra el archivo lib/RT/REST2/Middleware/Auth.pm • https://docs.bestpractical.com/release-notes/rt/index.html https://github.com/bestpractical/rt/commit/70749bb66cb13dd70bd53340c371038a5f3ca57c https://lists.debian.org/debian-lts-announce/2022/06/msg00019.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2JK57CEEXLQF7MGBCUX76DZHXML7LUSQ • CWE-203: Observable Discrepancy •
CVSS: 7.5EPSS: 1%CPEs: 7EXPL: 0CVE-2018-18898
https://notcve.org/view.php?id=CVE-2018-18898
The email-ingestion feature in Best Practical Request Tracker 4.1.13 through 4.4 allows denial of service by remote attackers via an algorithmic complexity attack on email address parsing. La funcionalidad email-ingestion en Best Practical Request Tracker, desde la versión 4.1.3 hasta la 4.4 permite que los atacantes remotos provoquen una denegación de servicio mediante un ataque de complejidad algorítmica en el análisis de direcciones de correo electrónico. • https://bestpractical.com/download-page https://lists.debian.org/debian-lts-announce/2020/02/msg00009.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CPJVDT77ZPRU5Z2BEMZM7EBY6WZHUATZ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YR46PPHBEM76DNN4DEQMAYIKLCO3TQU2 https://usn.ubuntu.com/4517-1 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.9EPSS: 0%CPEs: 41EXPL: 0CVE-2017-5361
https://notcve.org/view.php?id=CVE-2017-5361
Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 does not use a constant-time comparison algorithm for secrets, which makes it easier for remote attackers to obtain sensitive user password information via a timing side-channel attack. Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14, y versión 4.4.x anterior a 4.4.2, no usa un algoritmo de comparación de tiempo constante para secretos, lo que facilita a los atacantes remotos obtener información confidencial de contraseña de usuario por medio de un ataque al canal lateral de sincronización. • http://www.debian.org/security/2017/dsa-3882 http://www.debian.org/security/2017/dsa-3883 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 •
CVSS: 6.1EPSS: 0%CPEs: 41EXPL: 0CVE-2016-6127
https://notcve.org/view.php?id=CVE-2016-6127
Cross-site scripting (XSS) vulnerability in Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2, when the AlwaysDownloadAttachments config setting is not in use, allows remote attackers to inject arbitrary web script or HTML via a file upload with an unspecified content type. Vulnerabilidad Cross-site Scripting (XSS) en Request Tracker (RT) 4.x anterior a 4.0.25, 4.2.x anterior 4.2.14 y 4.4.x anterior a la 4.4.2, cuando la configuración AlwaysDownloadAttachments no esta en uso, permite a un atacante remoto inyectar un script aleatorio en la web o código HTML mediante la subida de un archivo de contenido inespecífico. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99375 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 41EXPL: 0CVE-2017-5943
https://notcve.org/view.php?id=CVE-2017-5943
Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 allows remote attackers to obtain sensitive information about cross-site request forgery (CSRF) verification tokens via a crafted URL. Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, permite a atacantes remotos obtener información confidencial sobre los tokens de verificación de problemas de tipo cross-site request forgery (CSRF) por medio de una URL creada. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99384 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-352: Cross-Site Request Forgery (CSRF) •