CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1000836
https://notcve.org/view.php?id=CVE-2018-1000836
bw-calendar-engine version <= bw-calendar-engine-3.12.0 contains a XML External Entity (XXE) vulnerability in IscheduleClient XML Parser that can result in Disclosure of confidential data, denial of service, SSRF, port scanning. This attack appear to be exploitable via Man in the Middle or malicious server. bw-calendar-engine, en versiones iguales o anteriores a la bw-calendar-engine-3.12.0, contiene una vulnerabilidad de XEE (XML External Entity) en el analizador de XML IscheduleClient que puede resultar en la divulgación de datos confidenciales, una denegación de servicio (DoS), Server-Side Request Forgery (SSRF) o el escaneo de puertos. El ataque parece ser explotable mediante un Man-in-the-Middle (MitM) o un servidor malicioso. • https://0dd.zone/2018/10/28/bw-calendar-engine-XXE-MitM https://github.com/Bedework/bw-calendar-engine/issues/3 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20000
https://notcve.org/view.php?id=CVE-2018-20000
Apereo Bedework bw-webdav before 4.0.3 allows XXE attacks, as demonstrated by an invite-reply document that reads a local file, related to webdav/servlet/common/MethodBase.java and webdav/servlet/common/PostRequestPars.java. Apereo Bedework bw-webdav en versiones anteriores a la 4.0.3 permite ataques XEE (XML External Entity), que quedan demostrados por un documento invite-reply que lee un archivo local, relacionado con webdav/servlet/common/MethodBase.java y webdav/servlet/common/PostRequestPars.java. • https://github.com/Bedework/bw-webdav/compare/bw-webdav-4.0.2...bw-webdav-4.0.3 https://github.com/Bedework/bw-webdav/pull/1 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2014-2296
https://notcve.org/view.php?id=CVE-2014-2296
XML external entity (XXE) vulnerability in java/org/jasig/cas/util/SamlUtils.java in Jasig CAS server before 3.4.12.1 and 3.5.x before 3.5.2.1, when Google Accounts Integration is enabled, allows remote unauthenticated users to bypass authentication via crafted XML data. Vulnerabilidad de XEE (XML External Entity) en java/org/jasig/cas/util/SamlUtils.java en el servidor Jasig CAS en versiones anteriores a la 3.4.12.1 y versiones 3.5.x anteriores a la 3.5.2.1, cuando Google Accounts Integration está habilitado, permite que usuarios remotos no autenticados omitan la autenticación mediante datos XML manipulados. • http://jasig.275507.n4.nabble.com/CAS-3-5-2-1-and-3-4-12-1-Security-Releases-td4662444.html https://vigilance.fr/vulnerability/Jasig-CAS-Server-bypassing-authentication-via-Google-Accounts-Integration-14512 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2017-1000221
https://notcve.org/view.php?id=CVE-2017-1000221
In Opencast 2.2.3 and older if user names overlap, the Opencast search service used for publication to the media modules and players will handle the access control incorrectly so that users only need to match part of the user name used for the access restriction. For example, a user with the role ROLE_USER will have access to recordings published only for ROLE_USER_X. En Opencast 2.2.3 y versiones anteriores, si se solapan nombres de usuario, el servicio de búsqueda de Opencast empleado para la publicación en los módulos multimedia gestionará el control de acceso de manera incorrecta, de forma que solo será necesario que los nombres de usuario correspondan con parte del nombre de usuario utilizado para la restricción de acceso. Por ejemplo, un usuario con el rol ROLE_USER tendrá acceso a las grabaciones publicadas solo para ROLE_USER_X. • https://opencast.jira.com/browse/MH-11862 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000071
https://notcve.org/view.php?id=CVE-2017-1000071
Jasig phpCAS version 1.3.4 is vulnerable to an authentication bypass in the validateCAS20 function when configured to authenticate against an old CAS server. Jasig phpCAS versión 1.3.4, es vulnerable a una omisión de autenticación en la función validateCAS20 cuando se configura para autenticarse en un antiguo servidor CAS. • http://www.securityfocus.com/bid/99609 https://github.com/Jasig/phpCAS/blob/master/docs/ChangeLog https://github.com/Jasig/phpCAS/issues/228 • CWE-287: Improper Authentication •