CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-35488
https://notcve.org/view.php?id=CVE-2022-35488
08 Aug 2022 — In Zammad 5.2.0, an attacker could manipulate the rate limiting in the 'forgot password' feature of Zammad, and thereby send many requests for a known account to cause Denial Of Service by many generated emails which would also spam the victim. En Zammad versión 5.2.0, un atacante podía manipular la limitación de la tasa en la funcionalidad "forgot password" de Zammad, y así enviar muchas peticiones a una cuenta conocida para causar una Denegación de Servicio por medio de muchos correos electrónicos generad... • https://zammad.com/de/advisories/zaa-2022-05 •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2022-35487
https://notcve.org/view.php?id=CVE-2022-35487
08 Aug 2022 — Zammad 5.2.0 suffers from Incorrect Access Control. Zammad did not correctly perform authorization on certain attachment endpoints. This could be abused by an unauthenticated attacker to gain access to attachments, such as emails or attached files. Zammad versión 5.2.0, sufre un Control de Acceso Incorrecto. Zammad no llevaba a cabo correctamente la autorización en determinados extremos de los archivos adjuntos. • https://zammad.com/de/advisories/zaa-2022-08 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-29700
https://notcve.org/view.php?id=CVE-2022-29700
27 Apr 2022 — A lack of password length restriction in Zammad v5.1.0 allows for the creation of extremely long passwords which can cause a Denial of Service (DoS) during password verification. Una falta de restricción de la longitud de las contraseñas en Zammad versión v5.1.0, permite la creación de contraseñas extremadamente largas que pueden causar una Denegación de Servicio (DoS) durante la verificación de la contraseña • https://zammad.com/en/advisories/zaa-2022-03 • CWE-521: Weak Password Requirements •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-29701
https://notcve.org/view.php?id=CVE-2022-29701
27 Apr 2022 — A lack of rate limiting in the 'forgot password' feature of Zammad v5.1.0 allows attackers to send an excessive amount of reset requests for a legitimate user, leading to a possible Denial of Service (DoS) via a large amount of generated e-mail messages. Una falta de limitación de la tasa en la funcionalidad "forgot password" de Zammad versión v5.1.0, permite a atacantes enviar una cantidad excesiva de peticiones de restablecimiento para un usuario legítimo, conllevando a una posible Denegación de Servicio ... • https://zammad.com/en/advisories/zaa-2022-04 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27332
https://notcve.org/view.php?id=CVE-2022-27332
27 Apr 2022 — An access control issue in Zammad v5.0.3 allows attackers to write entries to the CTI caller log without authentication. This vulnerability can allow attackers to execute phishing attacks or cause a Denial of Service (DoS). Un problema de control de acceso en Zammad versión v5.0.3, permite a atacantes escribir entradas en el registro de llamadas de CTI sin autenticación. Esta vulnerabilidad puede permitir a atacantes ejecutar ataques de phishing o causar una Denegación de Servicio (DoS) • https://zammad.com/en/advisories/zaa-2022-01 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27331
https://notcve.org/view.php?id=CVE-2022-27331
27 Apr 2022 — An access control issue in Zammad v5.0.3 broadcasts administrative configuration changes to all users who have an active application instance, including settings that should only be visible to authenticated users. Un problema de control de acceso en Zammad versión v5.0.3, difunde los cambios de configuración administrativa a todos los usuarios que presentan una instancia de aplicación activa, incluyendo ajustes que sólo deberían ser visibles para usuarios autenticados • https://zammad.com/de/advisories/zaa-2022-02 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-43145
https://notcve.org/view.php?id=CVE-2021-43145
04 Feb 2022 — With certain LDAP configurations, Zammad 5.0.1 was found to be vulnerable to unauthorized access with existing user accounts. Con determinadas configuraciones de LDAP, Se ha detectado que Zammad versión 5.0.1, era vulnerable al acceso no autorizado con cuentas de usuario existentes • https://zammad.com/de/advisories/zaa-2021-20 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-44886
https://notcve.org/view.php?id=CVE-2021-44886
04 Feb 2022 — In Zammad 5.0.2, agents can configure "out of office" periods and substitute persons. If the substitute persons didn't have the same permissions as the original agent, they could receive ticket notifications for tickets that they have no access to. En Zammad versión 5.0.2, los agentes pueden configurar periodos de "out of office" y personas sustitutas. Si las personas sustitutas no tienen los mismos permisos que el agente original, podrían recibir notificaciones de tickets a los que no presentan acceso • https://zammad.com/en/advisories/zaa-2021-21 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42137
https://notcve.org/view.php?id=CVE-2021-42137
11 Oct 2021 — An issue was discovered in Zammad before 5.0.1. In some cases, there is improper enforcement of the privilege requirement for viewing a list of tickets that shows title, state, etc. Se ha detectado un problema en Zammad versiones anteriores a 5.0.1. En algunos casos, se presenta una aplicación inapropiada del requisito de privilegio para visualizar una lista de tickets que muestra el título, el estado, etc • https://zammad.com/en/advisories/zaa-2021-19 • CWE-863: Incorrect Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42084
https://notcve.org/view.php?id=CVE-2021-42084
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. An attacker with valid agent credentials may send a series of crafted requests that cause an endless loop and thus cause denial of service. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Un atacante con credenciales de agente válidas puede enviar una serie de peticiones diseñadas que causan un bucle sin fin y, por tanto, causan una denegación de servicio • https://zammad.com/en/advisories/zaa-2021-11 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •