CVSS: 7.8EPSS: 3%CPEs: 20EXPL: 0CVE-2014-2745
https://notcve.org/view.php?id=CVE-2014-2745
Prosody before 0.9.4 does not properly restrict the processing of compressed XML elements, which allows remote attackers to cause a denial of service (resource consumption) via a crafted XMPP stream, aka an "xmppbomb" attack, related to core/portmanager.lua and util/xmppstream.lua. Prosody anterior a 0.9.4 no restringe debidamente el procesamiento de elementos XML comprimidos, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una cadena XMPP manipulada, también conocido como una ataque "xmppbomb", relacionado con core/portmanager.lua y util/xmppstream.lua. • http://blog.prosody.im/prosody-0-9-4-released http://hg.prosody.im/0.9/rev/1107d66d2ab2 http://hg.prosody.im/0.9/rev/a97591d2e1ad http://openwall.com/lists/oss-security/2014/04/07/7 http://openwall.com/lists/oss-security/2014/04/09/1 http://secunia.com/advisories/57710 http://www.debian.org/security/2014/dsa-2895 http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.8EPSS: 3%CPEs: 21EXPL: 2CVE-2014-2744
https://notcve.org/view.php?id=CVE-2014-2744
plugins/mod_compression.lua in (1) Prosody before 0.9.4 and (2) Lightwitch Metronome through 3.4 negotiates stream compression while a session is unauthenticated, which allows remote attackers to cause a denial of service (resource consumption) via compressed XML elements in an XMPP stream, aka an "xmppbomb" attack. plugins/mod_compression.lua en (1) Prosody anterior a 0.9.4 y (2) Lightwitch Metronome hasta 3.4 negocia compresión de cadena mientras una sesión no está autenticada, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de elementos XML comprimidos en una cadena XMPP, también conocido como un ataque "xmppbomb". • http://blog.prosody.im/prosody-0-9-4-released http://code.lightwitch.org/metronome/rev/49f47277a411 http://hg.prosody.im/0.9/rev/b3b1c9da38fb http://openwall.com/lists/oss-security/2014/04/07/7 http://openwall.com/lists/oss-security/2014/04/09/1 http://secunia.com/advisories/57710 http://www.debian.org/security/2014/dsa-2895 http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 2%CPEs: 16EXPL: 0CVE-2011-2205
https://notcve.org/view.php?id=CVE-2011-2205
Prosody before 0.8.1 does not properly detect recursion during entity expansion, which allows remote attackers to cause a denial of service (memory and CPU consumption) via a crafted XML document containing a large number of nested entity references, a similar issue to CVE-2003-1564. Prosody antes de v0.8.1 no detecta correctamente la recursividad durante la expansión de la entidad, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de memoria y CPU) a través de un documento XML manipulado que contiene un gran número de referencias a entidades anidadas, un problema similar a CVE-2003-1564. • http://blog.prosody.im/prosody-0-8-1-released http://hg.prosody.im/0.8/rev/5305a665bdd4 http://hg.prosody.im/0.8/rev/ee6a18f10a8d http://prosody.im/doc/release/0.8.1 http://secunia.com/advisories/44852 http://www.openwall.com/lists/oss-security/2011/06/14/6 http://www.openwall.com/lists/oss-security/2011/06/15/5 http://www.securityfocus.com/bid/48125 https://exchange.xforce.ibmcloud.com/vulnerabilities/67884 • CWE-399: Resource Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2532
https://notcve.org/view.php?id=CVE-2011-2532
The json.decode function in util/json.lua in Prosody 0.8.x before 0.8.1 might allow remote attackers to cause a denial of service (infinite loop) via invalid JSON data, as demonstrated by truncated data. La función json.decode en util/json.lua en Prosody v0.8.x antes de v0.8.1 podría permitir a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de datos no válidos JSON, como como se demostró con datos truncados. • http://blog.prosody.im/prosody-0-8-1-released http://hg.prosody.im/0.8/rev/20979f124ad9 http://prosody.im/doc/release/0.8.1 • CWE-399: Resource Management Errors •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2011-2531
https://notcve.org/view.php?id=CVE-2011-2531
Prosody 0.8.x before 0.8.1, when MySQL is used, assigns an incorrect data type to the value column in certain tables, which might allow remote attackers to cause a denial of service (data truncation) by sending a large amount of data. Prosody v0.8.x antes de v0.8.1, cuando se usa MySQL, asigna un tipo de datos incorrecto para la columna de valores en algunas tablas, lo que podría permitir a atacantes remotos provocar una denegación de servicio (truncamiento de datos) mediante el envío de una gran cantidad de datos. • http://blog.prosody.im/prosody-0-8-1-released http://hg.prosody.im/0.8/rev/c806a599224a http://hg.prosody.im/0.8/rev/d2406f0ce8a5 http://prosody.im/doc/release/0.8.1 • CWE-399: Resource Management Errors •