CVE-2012-0791
https://notcve.org/view.php?id=CVE-2012-0791
Multiple cross-site scripting (XSS) vulnerabilities in Horde IMP before 5.0.18 and Horde Groupware Webmail Edition before 4.0.6 allow remote attackers to inject arbitrary web script or HTML via the (1) composeCache, (2) rtemode, or (3) filename_* parameters to the compose page; (4) formname parameter to the contacts popup window; or (5) IMAP mailbox names. NOTE: some of these details are obtained from third party information. Múltiples vulnerbilidades de ejecución de secuencias de comandos web en sitios cruzados (XSS) en Horde IMP anterior a v5.0.18 y Horde Groupware Webmail Edition anterior a v4.0.6 permite a atacantes remotos inyectar código HTML o script web a través de los parámetros que componen la página (1) composeCache, (2) rtemode, o (3) filename_*;(4) parámetro formname para ventanas popup; o (5) nombres de buzón IMAP. NOTA: Algunos de estos detalles han sido obtenidos de terceras partes de información. • http://secunia.com/advisories/47580 http://secunia.com/advisories/47592 http://www.debian.org/security/2012/dsa-2485 http://www.horde.org/apps/imp/docs/CHANGES http://www.horde.org/apps/imp/docs/RELEASE_NOTES http://www.horde.org/apps/webmail/docs/CHANGES http://www.horde.org/apps/webmail/docs/RELEASE_NOTES http://www.openwall.com/lists/oss-security/2012/01/22/2 http://www.securityfocus.com/bid/51586 http://www.securitytracker.com/id?1026553 http://w • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-0909
https://notcve.org/view.php?id=CVE-2012-0909
Cross-site scripting (XSS) vulnerability in Horde_Form in Horde Groupware Webmail Edition before 4.0.6 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors, related to email verification. NOTE: Some of these details are obtained from third party information. Vulnerbilidad de ejecución de secuencias de comandos web en sitios cruzados (XSS) en Horde_Form en Horde Groupware Webmail Edition anterior a v4.0.6 permite a atacantes remotos inyectar código HTML o script web a través de vectores no especificados, relacionados con una verificación de correo. NOTA: Algunos de estos detalles han sido obtenidos de terceras partes de información. • http://secunia.com/advisories/47592 http://www.horde.org/apps/webmail/docs/CHANGES http://www.horde.org/apps/webmail/docs/RELEASE_NOTES http://www.openwall.com/lists/oss-security/2012/01/22/2 http://www.securityfocus.com/bid/51586 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-4778
https://notcve.org/view.php?id=CVE-2010-4778
Multiple cross-site scripting (XSS) vulnerabilities in fetchmailprefs.php in Horde IMP before 4.3.8, and Horde Groupware Webmail Edition before 1.2.7, allow remote attackers to inject arbitrary web script or HTML via the (1) username (aka fmusername), (2) password (aka fmpassword), or (3) server (aka fmserver) field in a fetchmail_prefs_save action, related to the Fetchmail configuration, a different issue than CVE-2010-3695. NOTE: some of these details are obtained from third party information. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en fetchmailprefs.php en Horde IMP antes de v4.3.8, y Horde Groupware Webmail Edition anterior a v1.2.7, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de los campos ( 1 ) nombre de usuario (también conocido como fmusername ), ( 2 ) contraseña ( fmpassword alias ), o (3 ) servidor ( también conocido como fmserver ) de la acción fetchmail_prefs_save, relacionados con la configuración de Fetchmail, una cuestión diferente a CVE - 2010-3695. NOTA: algunos de estos detalles han sido obtenidos de información de terceros.. • http://git.horde.org/diff.php/imp/fetchmailprefs.php?rt=horde&r1=1.39.4.10&r2=1.39.4.11 http://www.vupen.com/english/advisories/2010/2513 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-3695 – Horde IMP Webmail 4.3.7 - 'fetchmailprefs.php' HTML Injection
https://notcve.org/view.php?id=CVE-2010-3695
Cross-site scripting (XSS) vulnerability in fetchmailprefs.php in Horde IMP before 4.3.8, and Horde Groupware Webmail Edition before 1.2.7, allows remote attackers to inject arbitrary web script or HTML via the fm_id parameter in a fetchmail_prefs_save action, related to the Fetchmail configuration. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en fetchmailprefs.php in Horde IMP anterior a v4.3.8, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro fm_id en una acción fetchmail_prefs_save, relacionado con la configuración de Fetchmail. • https://www.exploit-db.com/exploits/34773 http://archives.neohapsis.com/archives/fulldisclosure/2010-09/0379.html http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=598584 http://cvs.horde.org/diff.php/imp/docs/CHANGES?rt=horde&r1=1.699.2.424&r2=1.699.2.430&ty=h http://git.horde.org/diff.php/groupware/docs/webmail/CHANGES?rt=horde&r1=1.35.2.11&r2=1.35.2.13&ty=h http://git.horde.org/diff.php/imp/fetchmailprefs.php?rt=horde&r1=1.39.4.10&r2=1.39.4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2008-0807
https://notcve.org/view.php?id=CVE-2008-0807
lib/Driver/sql.php in Turba 2 (turba2) Contact Manager H3 2.1.x before 2.1.7 and 2.2.x before 2.2-RC3, as used in products such as Horde Groupware before 1.0.4 and Horde Groupware Webmail Edition before 1.0.5, does not properly check access rights, which allows remote authenticated users to modify address data via a modified object_id parameter to edit.php, as demonstrated by modifying a personal address book entry when there is write access to a shared address book. lib/Driver/sql.php en Turba 2 (turba2) Contact Manager H3 2.1.x antes de 2.1.7 y 2.2.x antes de 2.2-RC3, como se usa en productos como Horde Groupware antes de 1.0.4 y Horde Groupware Webmail Edition antes de 1.0.5, no comprueba correctamente los privilegios de acceso, lo que permite a usuarios autentificados remotamente modificar datos de dirección a través de un parámetro object_id modificado a edit.php, como se demostró modificando una entrada personal en la libreta de direcciones cuando hay un acceso de escritura a una libreta de direcciones compartida. • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464058 http://lists.horde.org/archives/announce/2008/000378.html http://lists.horde.org/archives/announce/2008/000379.html http://lists.horde.org/archives/announce/2008/000380.html http://lists.horde.org/archives/announce/2008/000381.html http://secunia.com/advisories/28982 http://secunia.com/advisories/29071 http://secunia.com/advisories/29184 http://secunia.com/advisories/29185 http://secunia.com/advisories/29186 http:// • CWE-264: Permissions, Privileges, and Access Controls •