CVE-2017-5943
https://notcve.org/view.php?id=CVE-2017-5943
Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 allows remote attackers to obtain sensitive information about cross-site request forgery (CSRF) verification tokens via a crafted URL. Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, permite a atacantes remotos obtener información confidencial sobre los tokens de verificación de problemas de tipo cross-site request forgery (CSRF) por medio de una URL creada. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99384 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2017-5944
https://notcve.org/view.php?id=CVE-2017-5944
The dashboard subscription interface in Request Tracker (RT) 4.x before 4.0.25, 4.2.x before 4.2.14, and 4.4.x before 4.4.2 might allow remote authenticated users with certain privileges to execute arbitrary code via a crafted saved search name. La interfaz de subscripción del dashboard en Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, podría permitir a los usuarios identificados remotos con ciertos privilegios ejecutar código arbitrario por medio de un nombre de búsqueda guardada especialmente diseñado. • http://www.debian.org/security/2017/dsa-3882 http://www.securityfocus.com/bid/99381 https://forum.bestpractical.com/t/security-vulnerabilities-in-rt-2017-06-15/32016 • CWE-20: Improper Input Validation •
CVE-2015-6506
https://notcve.org/view.php?id=CVE-2015-6506
Cross-site scripting (XSS) vulnerability in the cryptography interface in Request Tracker (RT) before 4.2.12 allows remote attackers to inject arbitrary web script or HTML via a crafted public key. Vulnerabilidad de XSS en el interfaz de criptografía en Request Tracker (RT) en versiones anteriores a 4.2.12, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una clave pública manipulada. • http://blog.bestpractical.com/2015/08/security-vulnerabilities-in-rt.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164607.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165124.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165163.html http://www.debian.org/security/2015/dsa-3335 https://bestpractical.com/release-notes/rt/4.2.12 https://github.com/bestpractical/rt/commit/36a461947b00b105336adb4997d • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-5475
https://notcve.org/view.php?id=CVE-2015-5475
Multiple cross-site scripting (XSS) vulnerabilities in Request Tracker (RT) 4.x before 4.2.12 allow remote attackers to inject arbitrary web script or HTML via vectors related to the (1) user and (2) group rights management pages. Múltiples vulnerabilidades de XSS en Request Tracker (RT) en la versión 4.x y anteriores a 4.2.12, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores relacionados con (1) el usuario o (2) páginas de gestión de derechos de grupo. • http://blog.bestpractical.com/2015/08/security-vulnerabilities-in-rt.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164607.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165124.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/165163.html http://www.debian.org/security/2015/dsa-3335 http://www.securityfocus.com/bid/76364 https://bestpractical.com/release-notes/rt/4.2.12 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-1165
https://notcve.org/view.php?id=CVE-2015-1165
RT (aka Request Tracker) 3.8.8 through 4.x before 4.0.23 and 4.2.x before 4.2.10 allows remote attackers to obtain sensitive RSS feed URLs and ticket data via unspecified vectors. RT (también conocido como Request Tracker) 3.8.8 hasta 4.x anterior a 4.0.23 y 4.2.x anterior a 4.2.10 permite a atacantes remotos obtener URLs de alimentación RSS y datos de tickets sensibles a través de vectores no especificados. • http://blog.bestpractical.com/2015/02/security-vulnerabilities-in-rt.html http://lists.fedoraproject.org/pipermail/package-announce/2015-April/154213.html http://lists.fedoraproject.org/pipermail/package-announce/2015-March/154047.html http://www.debian.org/security/2015/dsa-3176 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •