CVSS: 6.4EPSS: 0%CPEs: 2EXPL: 0CVE-2010-3852
https://notcve.org/view.php?id=CVE-2010-3852
The default configuration of Luci 0.22.4 and earlier in Red Hat Conga uses "[INSERT SECRET HERE]" as its secret key for cookies, which makes it easier for remote attackers to bypass repoze.who authentication via a forged ticket cookie. La configuración por defecto de Luci v0.22.4 y anteriores en Red Hat Conga utiliza "[INSERT SECRET HERE]" como su clave secreta para las cookies, lo que facilita a los atacantes remotos el saltarse la autenticación a través de una cookie repoze.who falsificada. • http://git.fedorahosted.org/git/?p=luci.git%3Ba=commit%3Bh=9e0bbf0c5faa198379d945474f7d55da5031cacf http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050244.html http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050246.html http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050309.html http://osvdb.org/69015 http://secunia.com/advisories/42113 http://secunia.com/advisories/42123 http://www.securityfocus.com/bid/44611 http://www.vupen.com/e • CWE-287: Improper Authentication •
CVSS: 5.0EPSS: 2%CPEs: 1EXPL: 0CVE-2007-4136 – ricci is vulnerable to a connect DoS attack
https://notcve.org/view.php?id=CVE-2007-4136
The ricci daemon in Red Hat Conga 0.10.0 allows remote attackers to cause a denial of service (loss of new connections) by repeatedly sending data or attempting connections. El demonio ricci en Red Hat Conga versión 0.10.0, permite a atacantes remotos causar una denegación de servicio (pérdida de conexiones nuevas) mediante un envío de datos o intento de conexiones de manera repetitiva. • http://rhn.redhat.com/errata/RHSA-2007-0640.html http://secunia.com/advisories/27611 http://securitytracker.com/id?1018921 http://www.securityfocus.com/bid/26393 https://bugzilla.redhat.com/show_bug.cgi?id=336101 https://exchange.xforce.ibmcloud.com/vulnerabilities/38358 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9871 https://access.redhat.com/security/cve/CVE-2007-4136 •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2007-1462
https://notcve.org/view.php?id=CVE-2007-1462
The luci server component in conga preserves the password between page loads for the Add System/Cluster task flow by storing the password in the Value attribute of a password entry field, which allows attackers to steal the password by performing a "view source" or other operation to obtain the web page. NOTE: there are limited circumstances under which such an attack is feasible. El componente de servidor luci en conga, conserva la contraseña entre cargas de página para el flujo de tarea Add System/Cluster almacenando la contraseña en el atributo Value de un campo de introducción de contraseña, lo cual permite a atacantes obtener la contraseña realizando una operación "ver código fuente" u otras que obtengan la página web. NOTA: hay ciertas circunstancias bajo las cuales este ataque es factible. • http://osvdb.org/35086 https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=228637 •