CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-10847
https://notcve.org/view.php?id=CVE-2018-10847
prosody before versions 0.10.2, 0.9.14 is vulnerable to an Authentication Bypass. Prosody did not verify that the virtual host associated with a user session remained the same across stream restarts. A user may authenticate to XMPP host A and migrate their authenticated session to XMPP host B of the same Prosody instance. Prosody, en versiones anteriores a la 0.10.2 y 0.9.14, es vulnerable a una omisión de autenticación. Prosody no verificó que el host virtual asociado a una sesión de usuario se mantuviese igual durante los reinicios del flujo. • https://blog.prosody.im/prosody-0-10-2-security-release https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10847 https://issues.prosody.im/1147 https://prosody.im/security/advisory_20180531 https://www.debian.org/security/2018/dsa-4216 • CWE-287: Improper Authentication CWE-592: DEPRECATED: Authentication Bypass Issues •
CVSS: 7.5EPSS: 1%CPEs: 2EXPL: 0CVE-2017-18265
https://notcve.org/view.php?id=CVE-2017-18265
Prosody before 0.10.0 allows remote attackers to cause a denial of service (application crash), related to an incompatibility with certain versions of the LuaSocket library, such as the lua-socket package from Debian stretch. The attacker needs to trigger a stream error. A crash can be observed in, for example, the c2s module. Prosody en versiones anteriores a la 0.10.0 permite que atacantes remotos provoquen una denegación de servicio (cierre inesperado de la aplicación). Esto está relacionado con una incompatibilidad con ciertas versiones de la biblioteca LuaSocket, como el paquete lua-socket de Debian stretch. • https://bugs.debian.org/875829 https://hg.prosody.im/0.9/rev/176b7f4e4ac9 https://hg.prosody.im/0.9/rev/adfffc5b4e2a https://prosody.im/issues/issue/987 https://www.debian.org/security/2018/dsa-4198 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-0756
https://notcve.org/view.php?id=CVE-2016-0756
The generate_dialback function in the mod_dialback module in Prosody before 0.9.10 does not properly separate fields when generating dialback keys, which allows remote attackers to spoof XMPP network domains via a crafted stream id and domain name that is included in the target domain as a suffix. La función generate_dialback en el módulo mod_dialback en Prosody en versiones anteriores a 0.9.10 no separa campos correctamente cuando genera claves de devolución de llamada, lo que permite a atacantes remotos suplantar dominios de red XMPP a través de una identidad de flujo y un nombre de dominio manipulados que están incluidos en el dominio objetivo como un sufijo. • http://blog.prosody.im/prosody-0-9-10-released http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176796.html http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176914.html http://www.debian.org/security/2016/dsa-3463 http://www.openwall.com/lists/oss-security/2016/01/27/10 http://www.securityfocus.com/bid/82241 https://prosody.im/issues/issue/596 https://prosody.im/security/advisory_20160127 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 0CVE-2016-1232
https://notcve.org/view.php?id=CVE-2016-1232
The mod_dialback module in Prosody before 0.9.9 does not properly generate random values for the secret token for server-to-server dialback authentication, which makes it easier for attackers to spoof servers via a brute force attack. El módulo mod_dialback en Prosody en versiones anteriores a 0.9.9 no genera adecuadamente valores aleatorios para para el token secreto en la autenticación de devolución de llamada de servidor a servidor, lo que hace que sea más fácil para atacantes suplantar servidores a través de un ataque de fuerza bruta. • http://blog.prosody.im/prosody-0-9-9-security-release http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175829.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175868.html http://www.debian.org/security/2016/dsa-3439 http://www.openwall.com/lists/oss-security/2016/01/08/5 https://prosody.im/issues/issue/571 https://prosody.im/security/advisory_20160108-2 •
CVSS: 5.9EPSS: 1%CPEs: 13EXPL: 0CVE-2016-1231
https://notcve.org/view.php?id=CVE-2016-1231
Directory traversal vulnerability in the HTTP file-serving module (mod_http_files) in Prosody 0.9.x before 0.9.9 allows remote attackers to read arbitrary files via a .. (dot dot) in an unspecified path. Vulnerabilidad de salto de directorio en el módulo HTTP file-serving (mod_http_files) en Prosody 0.9.x en versiones anteriores a 0.9.9 permite a atacantes remotos leer archivos arbitrarios a través de un .. (punto punto) en una ruta no especificada. • http://blog.prosody.im/prosody-0-9-9-security-release http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175829.html http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175868.html http://www.debian.org/security/2016/dsa-3439 http://www.openwall.com/lists/oss-security/2016/01/08/5 https://prosody.im/issues/issue/520 https://prosody.im/security/advisory_20160108-1 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •