CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42089
https://notcve.org/view.php?id=CVE-2021-42089
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. The REST API discloses sensitive information. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. La API REST divulga información confidencial • https://zammad.com/en/advisories/zaa-2021-13 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42090
https://notcve.org/view.php?id=CVE-2021-42090
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. The Form functionality allows remote code execution because deserialization is mishandled. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. La funcionalidad Form permite una ejecución de código remota porque la deserialización es manejada inapropiadamente • https://zammad.com/en/advisories/zaa-2021-14 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42091
https://notcve.org/view.php?id=CVE-2021-42091
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. SSRF can occur via GitHub or GitLab integration. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Un ataque de tipo SSRF puede ocurrir por medio de la integración de GitHub o GitLab • https://zammad.com/en/advisories/zaa-2021-08 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42092
https://notcve.org/view.php?id=CVE-2021-42092
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. Stored XSS may occur via an Article during addition of an attachment to a Ticket. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. una vulnerabilidad de tipo XSS almacenado puede producirse por medio de un Artículo durante la adición de un archivo adjunto a un Ticket • https://zammad.com/en/advisories/zaa-2021-16 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42093
https://notcve.org/view.php?id=CVE-2021-42093
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. An admin can execute code on the server via a crafted request that manipulates triggers. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Un administrador puede ejecutar código en el servidor por medio de una petición diseñada que manipula disparadores • https://zammad.com/en/advisories/zaa-2021-10 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42094
https://notcve.org/view.php?id=CVE-2021-42094
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. Command Injection can occur via custom Packages. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Una inyección de comandos puede ocurrir por medio de paquetes personalizados • https://zammad.com/en/advisories/zaa-2021-18 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35298
https://notcve.org/view.php?id=CVE-2021-35298
28 Jun 2021 — Cross Site Scripting (XSS) in Zammad 1.0.x up to 4.0.0 allows remote attackers to execute arbitrary web script or HTML via multiple models that contain a 'note' field to store additional information. Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes remotos ejecutar scripts web o HTML arbitrarios por medio de múltiples modelos que contienen un campo "note" para almacenar información adicional • https://zammad.com/en/advisories/zaa-2021-03 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35299
https://notcve.org/view.php?id=CVE-2021-35299
28 Jun 2021 — Incorrect Access Control in Zammad 1.0.x up to 4.0.0 allows attackers to obtain sensitive information via email connection configuration probing. Un Control de Acceso Incorrecto en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes obtener información confidencial por medio de sondeo de la configuración de la conexión de correo electrónico • https://zammad.com/en/advisories/zaa-2021-02 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35300
https://notcve.org/view.php?id=CVE-2021-35300
28 Jun 2021 — Text injection/Content Spoofing in 404 page in Zammad 1.0.x up to 4.0.0 could allow remote attackers to manipulate users into visiting the attackers' page. Una Inyección de texto / de Suplantación de Contenido en la página 404 en Zammad versiones 1.0.x hasta 4.0.0, podría permitir a atacantes remotos manipular a los usuarios para que visiten la página de los atacantes • https://zammad.com/en/advisories/zaa-2021-07 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-35301
https://notcve.org/view.php?id=CVE-2021-35301
28 Jun 2021 — Incorrect Access Control in Zammad 1.0.x up to 4.0.0 allows remote attackers to obtain sensitive information via the Ticket Article detail view. Un Control de Acceso Incorrecto en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes remotos obtener información confidencial por medio de la visualización de detalles Ticket Article • https://zammad.com/en/advisories/zaa-2021-05 •