Page 2 of 10 results (0.003 seconds)

CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0

Best Practical Request Tracker (RT) 4.2 before 4.2.17, 4.4 before 4.4.5, and 5.0 before 5.0.2 allows sensitive information disclosure via a timing attack against lib/RT/REST2/Middleware/Auth.pm. Best Practical Request Tracker (RT) versiones 4.2 anteriores a 4.2.17, versiones 4.4 anteriores a 4.4.5, y versiones 5.0 anteriores a 5.0.2, permite una divulgación de información confidencial por medio de un ataque de tiempo contra el archivo lib/RT/REST2/Middleware/Auth.pm • https://docs.bestpractical.com/release-notes/rt/index.html https://github.com/bestpractical/rt/commit/70749bb66cb13dd70bd53340c371038a5f3ca57c https://lists.debian.org/debian-lts-announce/2022/06/msg00019.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2JK57CEEXLQF7MGBCUX76DZHXML7LUSQ • CWE-203: Observable Discrepancy •

CVSS: 5.9EPSS: 0%CPEs: 41EXPL: 0

Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 does not use a constant-time comparison algorithm for secrets, which makes it easier for remote attackers to obtain sensitive user password information via a timing side-channel attack. Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14, y versión 4.4.x anterior a 4.4.2, no usa un algoritmo de comparación de tiempo constante para secretos, lo que facilita a los atacantes remotos obtener información confidencial de contraseña de usuario por medio de un ataque al canal lateral de sincronización. • http://www.debian.org/security/2017/dsa-3882 http://www.debian.org/security/2017/dsa-3883 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 •

CVSS: 6.1EPSS: 0%CPEs: 41EXPL: 0

Cross-site scripting (XSS) vulnerability in Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2, when the AlwaysDownloadAttachments config setting is not in use, allows remote attackers to inject arbitrary web script or HTML via a file upload with an unspecified content type. Vulnerabilidad Cross-site Scripting (XSS) en Request Tracker (RT) 4.x anterior a 4.0.25, 4.2.x anterior 4.2.14 y 4.4.x anterior a la 4.4.2, cuando la configuración AlwaysDownloadAttachments no esta en uso, permite a un atacante remoto inyectar un script aleatorio en la web o código HTML mediante la subida de un archivo de contenido inespecífico. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99375 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 0%CPEs: 41EXPL: 0

Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 allows remote attackers to obtain sensitive information about cross-site request forgery (CSRF) verification tokens via a crafted URL. Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, permite a atacantes remotos obtener información confidencial sobre los tokens de verificación de problemas de tipo cross-site request forgery (CSRF) por medio de una URL creada. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99384 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 8.8EPSS: 1%CPEs: 41EXPL: 0

The dashboard subscription interface in Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 might allow remote authenticated users with certain privileges to execute arbitrary code via a crafted saved search name. La interfaz de subscripción del dashboard en Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, podría permitir a los usuarios identificados remotos con ciertos privilegios ejecutar código arbitrario por medio de un nombre de búsqueda guardada especialmente diseñado. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99381 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-20: Improper Input Validation •