CVSS: 5.9EPSS: 0%CPEs: 13EXPL: 0CVE-2016-1231 – Debian Security Advisory 3439-1
https://notcve.org/view.php?id=CVE-2016-1231
11 Jan 2016 — Directory traversal vulnerability in the HTTP file-serving module (mod_http_files) in Prosody 0.9.x before 0.9.9 allows remote attackers to read arbitrary files via a .. (dot dot) in an unspecified path. Vulnerabilidad de salto de directorio en el módulo HTTP file-serving (mod_http_files) en Prosody 0.9.x en versiones anteriores a 0.9.9 permite a atacantes remotos leer archivos arbitrarios a través de un .. (punto punto) en una ruta no especificada. Two vulnerabilities were discovered in Prosody, a lightwei... • http://blog.prosody.im/prosody-0-9-9-security-release • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 0CVE-2016-1232 – Debian Security Advisory 3439-1
https://notcve.org/view.php?id=CVE-2016-1232
11 Jan 2016 — The mod_dialback module in Prosody before 0.9.9 does not properly generate random values for the secret token for server-to-server dialback authentication, which makes it easier for attackers to spoof servers via a brute force attack. El módulo mod_dialback en Prosody en versiones anteriores a 0.9.9 no genera adecuadamente valores aleatorios para para el token secreto en la autenticación de devolución de llamada de servidor a servidor, lo que hace que sea más fácil para atacantes suplantar servidores a trav... • http://blog.prosody.im/prosody-0-9-9-security-release •
CVSS: 7.8EPSS: 2%CPEs: 21EXPL: 2CVE-2014-2744 – Debian Security Advisory 2895-2
https://notcve.org/view.php?id=CVE-2014-2744
11 Apr 2014 — plugins/mod_compression.lua in (1) Prosody before 0.9.4 and (2) Lightwitch Metronome through 3.4 negotiates stream compression while a session is unauthenticated, which allows remote attackers to cause a denial of service (resource consumption) via compressed XML elements in an XMPP stream, aka an "xmppbomb" attack. plugins/mod_compression.lua en (1) Prosody anterior a 0.9.4 y (2) Lightwitch Metronome hasta 3.4 negocia compresión de cadena mientras una sesión no está autenticada, lo que permite a atacantes ... • http://blog.prosody.im/prosody-0-9-4-released • CWE-20: Improper Input Validation •
CVSS: 7.8EPSS: 2%CPEs: 20EXPL: 0CVE-2014-2745 – Debian Security Advisory 2895-2
https://notcve.org/view.php?id=CVE-2014-2745
11 Apr 2014 — Prosody before 0.9.4 does not properly restrict the processing of compressed XML elements, which allows remote attackers to cause a denial of service (resource consumption) via a crafted XMPP stream, aka an "xmppbomb" attack, related to core/portmanager.lua and util/xmppstream.lua. Prosody anterior a 0.9.4 no restringe debidamente el procesamiento de elementos XML comprimidos, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una cadena XMPP manipulada, t... • http://blog.prosody.im/prosody-0-9-4-released • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 1%CPEs: 16EXPL: 0CVE-2011-2205
https://notcve.org/view.php?id=CVE-2011-2205
22 Jun 2011 — Prosody before 0.8.1 does not properly detect recursion during entity expansion, which allows remote attackers to cause a denial of service (memory and CPU consumption) via a crafted XML document containing a large number of nested entity references, a similar issue to CVE-2003-1564. Prosody antes de v0.8.1 no detecta correctamente la recursividad durante la expansión de la entidad, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de memoria y CPU) a través de un documento XML... • http://blog.prosody.im/prosody-0-8-1-released • CWE-399: Resource Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2531
https://notcve.org/view.php?id=CVE-2011-2531
22 Jun 2011 — Prosody 0.8.x before 0.8.1, when MySQL is used, assigns an incorrect data type to the value column in certain tables, which might allow remote attackers to cause a denial of service (data truncation) by sending a large amount of data. Prosody v0.8.x antes de v0.8.1, cuando se usa MySQL, asigna un tipo de datos incorrecto para la columna de valores en algunas tablas, lo que podría permitir a atacantes remotos provocar una denegación de servicio (truncamiento de datos) mediante el envío de una gran cantidad d... • http://blog.prosody.im/prosody-0-8-1-released • CWE-399: Resource Management Errors •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2532
https://notcve.org/view.php?id=CVE-2011-2532
22 Jun 2011 — The json.decode function in util/json.lua in Prosody 0.8.x before 0.8.1 might allow remote attackers to cause a denial of service (infinite loop) via invalid JSON data, as demonstrated by truncated data. La función json.decode en util/json.lua en Prosody v0.8.x antes de v0.8.1 podría permitir a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de datos no válidos JSON, como como se demostró con datos truncados. • http://blog.prosody.im/prosody-0-8-1-released • CWE-399: Resource Management Errors •