CVE-2020-9369
https://notcve.org/view.php?id=CVE-2020-9369
Sympa 6.2.38 through 6.2.52 allows remote attackers to cause a denial of service (disk consumption from temporary files, and a flood of notifications to listmasters) via a series of requests with malformed parameters. Sympa versiones 6.2.38 hasta 6.2.52, permite a atacantes remotos causar una denegación de servicio (consumo de disco de archivos temporales y una avalancha de notificaciones para listmasters) por medio de una serie de peticiones con parámetros malformados. • https://github.com/sympa-community/sympa/issues/886 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6TMVZ5LVYCCIHGEC7RQUMGUE7DJWUXN7 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/A3FUYYLV6URRLAJVWXNJYK2CNOKKNHXC https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XO4WJYNNHWM7DUKCN4EWYYYPXZSOI7BQ https://sympa-community.github.io/security/2020-001.html https://www.debian.org/security/2020/dsa-4818 • CWE-400: Uncontrolled Resource Consumption •
CVE-2018-1000550
https://notcve.org/view.php?id=CVE-2018-1000550
The Sympa Community Sympa version prior to version 6.2.32 contains a Directory Traversal vulnerability in wwsympa.fcgi template editing function that can result in Possibility to create or modify files on the server filesystem. This attack appear to be exploitable via HTTP GET/POST request. This vulnerability appears to have been fixed in 6.2.32. Sympa de Sympa Community, en versiones anteriores a la 6.2.32, contiene una vulnerabilidad de salto de directorio en la función de edición de plantillas www.sympa.fcgi que puede generar la posibilidad de crear o modificar archivos en el sistema de archivos del servidor. Parece ser que este ataque puede ser explotado mediante una petición HTTP GET/POST. • https://lists.debian.org/debian-lts-announce/2018/07/msg00033.html https://sympa-community.github.io/security/2018-001.html https://usn.ubuntu.com/4442-1 https://www.debian.org/security/2018/dsa-4285 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •