CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-14466
https://notcve.org/view.php?id=CVE-2019-14466
The GOsa_Filter_Settings cookie in GONICUS GOsa 2.7.5.2 is vulnerable to PHP objection injection, which allows a remote authenticated attacker to perform file deletions (in the context of the user account that runs the web server) via a crafted cookie value, because unserialize is used to restore filter settings from a cookie. La cookie de GOsa_Filter_Settings en GONICUS GOsa versión 2.7.5.2, es vulnerable a una inyección de objeciones de PHP, lo que permite a un atacante autenticado remoto llevar a cabo eliminaciones de archivos (en el contexto de la cuenta de usuario que ejecuta el servidor web) por medio de un valor de cookie especialmente diseñado, ya que una deserialización es usada para restaurar la configuración del filtro desde una cookie. • https://github.com/gosa-project/gosa-core/pull/29 https://lists.debian.org/debian-lts-announce/2019/08/msg00039.html • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2015-8771
https://notcve.org/view.php?id=CVE-2015-8771
The generate_smb_nt_hash function in include/functions.inc in GOsa allows remote attackers to execute arbitrary commands via a crafted password. La función generate_smb_nt_hash en include/functions.inc en GOsa permite a atacantes remotos ejecutar comandos arbitrarios a través de una contraseña manipulada. • http://www.openwall.com/lists/oss-security/2016/01/15/11 http://www.securityfocus.com/bid/96388 https://github.com/gosa-project/gosa-core/commit/a67a047cba2cdae8bccb0f0e2bc6d3eb45cfcbc8 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9760
https://notcve.org/view.php?id=CVE-2014-9760
Cross-site scripting (XSS) vulnerability in the displayLogin function in html/index.php in GOsa allows remote attackers to inject arbitrary web script or HTML via the username. Vulnerabilidad de XSS en la función displayLogin en html/index.php en GOsa permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del nombre de usuario. • http://www.openwall.com/lists/oss-security/2016/01/15/11 http://www.securityfocus.com/bid/97104 https://github.com/gosa-project/gosa-core/commit/e35b990464a2c2cf64d6833a217ed944876e7732 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •