CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-10847
https://notcve.org/view.php?id=CVE-2018-10847
prosody before versions 0.10.2, 0.9.14 is vulnerable to an Authentication Bypass. Prosody did not verify that the virtual host associated with a user session remained the same across stream restarts. A user may authenticate to XMPP host A and migrate their authenticated session to XMPP host B of the same Prosody instance. Prosody, en versiones anteriores a la 0.10.2 y 0.9.14, es vulnerable a una omisión de autenticación. Prosody no verificó que el host virtual asociado a una sesión de usuario se mantuviese igual durante los reinicios del flujo. • https://blog.prosody.im/prosody-0-10-2-security-release https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10847 https://issues.prosody.im/1147 https://prosody.im/security/advisory_20180531 https://www.debian.org/security/2018/dsa-4216 • CWE-287: Improper Authentication CWE-592: DEPRECATED: Authentication Bypass Issues •
CVSS: 7.5EPSS: 1%CPEs: 2EXPL: 0CVE-2017-18265
https://notcve.org/view.php?id=CVE-2017-18265
Prosody before 0.10.0 allows remote attackers to cause a denial of service (application crash), related to an incompatibility with certain versions of the LuaSocket library, such as the lua-socket package from Debian stretch. The attacker needs to trigger a stream error. A crash can be observed in, for example, the c2s module. Prosody en versiones anteriores a la 0.10.0 permite que atacantes remotos provoquen una denegación de servicio (cierre inesperado de la aplicación). Esto está relacionado con una incompatibilidad con ciertas versiones de la biblioteca LuaSocket, como el paquete lua-socket de Debian stretch. • https://bugs.debian.org/875829 https://hg.prosody.im/0.9/rev/176b7f4e4ac9 https://hg.prosody.im/0.9/rev/adfffc5b4e2a https://prosody.im/issues/issue/987 https://www.debian.org/security/2018/dsa-4198 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-0756
https://notcve.org/view.php?id=CVE-2016-0756
The generate_dialback function in the mod_dialback module in Prosody before 0.9.10 does not properly separate fields when generating dialback keys, which allows remote attackers to spoof XMPP network domains via a crafted stream id and domain name that is included in the target domain as a suffix. La función generate_dialback en el módulo mod_dialback en Prosody en versiones anteriores a 0.9.10 no separa campos correctamente cuando genera claves de devolución de llamada, lo que permite a atacantes remotos suplantar dominios de red XMPP a través de una identidad de flujo y un nombre de dominio manipulados que están incluidos en el dominio objetivo como un sufijo. • http://blog.prosody.im/prosody-0-9-10-released http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176796.html http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176914.html http://www.debian.org/security/2016/dsa-3463 http://www.openwall.com/lists/oss-security/2016/01/27/10 http://www.securityfocus.com/bid/82241 https://prosody.im/issues/issue/596 https://prosody.im/security/advisory_20160127 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 0CVE-2016-1232
https://notcve.org/view.php?id=CVE-2016-1232
The mod_dialback module in Prosody before 0.9.9 does not properly generate random values for the secret token for server-to-server dialback authentication, which makes it easier for attackers to spoof servers via a brute force attack. El módulo mod_dialback en Prosody en versiones anteriores a 0.9.9 no genera adecuadamente valores aleatorios para para el token secreto en la autenticación de devolución de llamada de servidor a servidor, lo que hace que sea más fácil para atacantes suplantar servidores a través de un ataque de fuerza bruta. • http://blog.prosody.im/prosody-0-9-9-security-release http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175829.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175868.html http://www.debian.org/security/2016/dsa-3439 http://www.openwall.com/lists/oss-security/2016/01/08/5 https://prosody.im/issues/issue/571 https://prosody.im/security/advisory_20160108-2 •
CVSS: 7.8EPSS: 3%CPEs: 20EXPL: 0CVE-2014-2745
https://notcve.org/view.php?id=CVE-2014-2745
Prosody before 0.9.4 does not properly restrict the processing of compressed XML elements, which allows remote attackers to cause a denial of service (resource consumption) via a crafted XMPP stream, aka an "xmppbomb" attack, related to core/portmanager.lua and util/xmppstream.lua. Prosody anterior a 0.9.4 no restringe debidamente el procesamiento de elementos XML comprimidos, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una cadena XMPP manipulada, también conocido como una ataque "xmppbomb", relacionado con core/portmanager.lua y util/xmppstream.lua. • http://blog.prosody.im/prosody-0-9-4-released http://hg.prosody.im/0.9/rev/1107d66d2ab2 http://hg.prosody.im/0.9/rev/a97591d2e1ad http://openwall.com/lists/oss-security/2014/04/07/7 http://openwall.com/lists/oss-security/2014/04/09/1 http://secunia.com/advisories/57710 http://www.debian.org/security/2014/dsa-2895 http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas • CWE-264: Permissions, Privileges, and Access Controls •