CVSS: 4.3EPSS: 0%CPEs: 21EXPL: 2CVE-2008-5304 – TWiki 4.x - 'URLPARAM' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2008-5304
Cross-site scripting (XSS) vulnerability in TWiki before 4.2.4 allows remote attackers to inject arbitrary web script or HTML via the %URLPARAM{}% variable. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en TWiki anterior a v4.2.4, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de la variable %URLPARAM{}%. • https://www.exploit-db.com/exploits/32646 http://secunia.com/advisories/33040 http://securitytracker.com/id?1021351 http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-5304 http://www.securityfocus.com/bid/32669 http://www.vupen.com/english/advisories/2008/3381 https://exchange.xforce.ibmcloud.com/vulnerabilities/47122 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.9EPSS: 0%CPEs: 1EXPL: 0CVE-2008-4998
https://notcve.org/view.php?id=CVE-2008-4998
postinst in twiki 4.1.2 allows local users to overwrite arbitrary files via a symlink attack on the /tmp/twiki temporary file. NOTE: the vendor disputes this vulnerability, stating "this bug is invalid. ** DISPUTADA ** postinst en twiki v.4.1.2 permite a usuarios locales sobrescribir ficheros de su elección a través de un ataque de enlace simbólico al fichero temporal /tmp/twiki. NOTA: El fabricantes ha disputado esta vulnerabilidad, manteniendo "este error es inválido". • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=494648 http://www.openwall.com/lists/oss-security/2008/10/30/2 https://bugs.gentoo.org/show_bug.cgi?id=235770 https://bugs.gentoo.org/show_bug.cgi?id=235802 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 6.8EPSS: 12%CPEs: 13EXPL: 2CVE-2008-3195 – TWiki 4.2.0 - 'configure' Remote File Disclosure
https://notcve.org/view.php?id=CVE-2008-3195
Directory traversal vulnerability in bin/configure in TWiki before 4.2.3, when a certain step in the installation guide is skipped, allows remote attackers to read arbitrary files via a query string containing a .. (dot dot) in the image variable, and execute arbitrary files via unspecified vectors. Vulnerabilidad de salto de directorio en bin/configure en TWiki anterior a v4.2.3, cuando algún paso en el asistente de instalación es omitido, permite a atacantes remotos leer ficheros de su elección a través de una cadena de consulta que contiene ..(punto punto) en la variable "image", y ejecutar archivos de su elección a través de vectores no especificados. • https://www.exploit-db.com/exploits/6269 https://www.exploit-db.com/exploits/6509 http://secunia.com/advisories/31849 http://secunia.com/advisories/31964 http://securityreason.com/securityalert/4265 http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195 http://twiki.org/cgi-bin/view/Codev/TWikiRelease04x02x03#4_2_3_Bugfix_Highlights http://www.kb.cert.org/vuls/id/362012 http://www.kb.cert.org/vuls/id/RGII-7JEQ7L http://www.vupen.com/english/advisories/2008 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0CVE-2007-5193
https://notcve.org/view.php?id=CVE-2007-5193
The default configuration for twiki 4.1.2 on Debian GNU/Linux, and possibly other operating systems, specifies the work area directory (cfg{RCS}{WorkAreaDir}) under the web document root, which might allow remote attackers to obtain sensitive information when .htaccess restrictions are not applied. La configuración por defecto para twiki 4.1.2 en Debian GNU/Linux, y posiblemente en otros sistemas operativos, especifican el directorio de área de trabajo (cfg{RCS}{WorkAreaDir}) bajo la raíz de los documentos web, lo cual podría permitir a atacantes remotos obtener información sensible cuando no hay aplicadas restricciones .htaccess. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=444982 http://osvdb.org/42338 •
CVSS: 4.6EPSS: 0%CPEs: 7EXPL: 0CVE-2007-0669
https://notcve.org/view.php?id=CVE-2007-0669
Unspecified vulnerability in Twiki 4.0.0 through 4.1.0 allows local users to execute arbitrary Perl code via unknown vectors related to CGI session files. Vulnerabilidad no especificada en Twiki 4.0.0 hasta 4.1.0 permite a usuarios locales ejecutar código Perl de su elección mediante vectores desconocidos referidos a ficheros de sesión CGI. • http://archives.neohapsis.com/archives/vulnwatch/2007-q1/0033.html http://osvdb.org/33168 http://secunia.com/advisories/24091 http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2007-0669 http://www.kb.cert.org/vuls/id/584436 http://www.openpkg.com/security/advisories/OpenPKG-SA-2007.009.html http://www.securityfocus.com/bid/22378 http://www.vupen.com/english/advisories/2007/0544 https://exchange.xforce.ibmcloud.com/vulnerabilities/32389 •