CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2016-6877
https://notcve.org/view.php?id=CVE-2016-6877
Citrix XenMobile Server before 10.5.0.24 allows man-in-the-middle attackers to trigger HTTP 302 redirections via vectors involving the HTTP Host header and a cached page. NOTE: the vendor reports "our internal analysis of this issue concluded that this was not a valid vulnerability" because an exploitation scenario would involve a man-in-the-middle attack against a TLS session **EN DISPUTA** Citrix XenMobile Server en versiones anteriores a la 10.5.0.24 permite a atacantes man-in-the-middle lanzar redirecciones HTTP 302 a través de vectores relacionados con la cabecera HTTP Host y una página cacheada. NOTA: El fabricante informa "nuestro análisis interno de este problema concluye en que esto no fue una vulnerabilidad válida" porque un escenario donde se explote implica un ataque man-in-the-middle contra una sesión TLS. • http://www.securityfocus.com/bid/98341 https://www.solutionary.com/threat-intelligence/vulnerability-disclosures/2017/03/citrix-xenmobile-server • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2016-2789
https://notcve.org/view.php?id=CVE-2016-2789
Cross-site scripting (XSS) vulnerability in the Web User Interface in Citrix XenMobile Server 10.0, 10.1 before Rolling Patch 4, and 10.3 before Rolling Patch 1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Vulnerabilidad de XSS en la Web User Interface en Citrix XenMobile Server 10.0, 10.1 en versiones anteriores a Rolling Patch 4 y 10.3 en versiones anteriores a Rolling Patch 1 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados. • http://support.citrix.com/article/CTX207499 http://www.securitytracker.com/id/1035265 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •