CVSS: 6.9EPSS: 0%CPEs: 1EXPL: 0CVE-2008-4476
https://notcve.org/view.php?id=CVE-2008-4476
sympa.pl in sympa 5.3.4 allows local users to overwrite arbitrary files via a symlink attack on the /tmp/sympa_aliases.$$ temporary file. NOTE: wwsympa.fcgi was also reported, but the issue occurred in a dead function, so it is not a vulnerability. El archivo sympa.pl en sympa versión 5.3.4, permite a los usuarios locales sobrescribir archivos arbitrarios por medio de un ataque de tipo symlink en el archivo temporal /tmp/sympa_aliases.$$. NOTA: también se reportó el archivo wwsympa.fcgi, pero el problema se produjo en una función inactiva, por lo que no es una vulnerabilidad. • http://bugs.debian.org/496405 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=494969 http://dev.gentoo.org/~rbu/security/debiantemp/sympa http://lists.debian.org/debian-devel/2008/08/msg00312.html http://secunia.com/advisories/31458 http://uvw.ru/report.lenny.txt http://www.openwall.com/lists/oss-security/2008/10/30/2 http://www.securityfocus.com/bid/30727 https://bugs.gentoo.org/show_bug.cgi?id=235770 https://exchange.xforce.ibmcloud.com/vulnerabilities/44499 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 5.0EPSS: 3%CPEs: 129EXPL: 1CVE-2008-1648
https://notcve.org/view.php?id=CVE-2008-1648
Sympa before 5.4 allows remote attackers to cause a denial of service (daemon crash) via an e-mail message with a malformed value of the Content-Type header and unspecified other headers. NOTE: some of these details are obtained from third party information. Sympa antes de 5.4 permite a atacantes remotos provocar una denegación de servicio (caída de demonio) a través de un email con un valor mal formado de la cabecera Content-Type y otras cabeceras no especificadas. NOTA: algunos de estos detalles se han obtenido de información de terceros. • http://secunia.com/advisories/29575 http://secunia.com/advisories/30910 http://sourcesup.cru.fr/tracker/?func=detail&group_id=23&aid=3702&atid=167 http://www.debian.org/security/2008/dsa-1600 http://www.mandriva.com/security/advisories?name=MDVSA-2008:133 http://www.securityfocus.com/bid/28539 http://www.sympa.org/distribution/latest-stable/NEWS http://www.vupen.com/english/advisories/2008/1080/references https://exchange.xforce.ibmcloud.com/vulnerabilities/41561 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 2CVE-2004-1735 – Sympa 4.x - New List HTML Injection
https://notcve.org/view.php?id=CVE-2004-1735
Cross-site scripting (XSS) vulnerability in the create list option in Sympa 4.1.x and earlier allows remote authenticated users to inject arbitrary web script or HTML via the description field. • https://www.exploit-db.com/exploits/24389 http://marc.info/?l=bugtraq&m=109312475207604&w=2 http://secunia.com/advisories/12339 http://www.securityfocus.com/bid/10992 https://exchange.xforce.ibmcloud.com/vulnerabilities/17057 •