11 results (0.008 seconds)

CVSS: 6.8EPSS: 0%CPEs: 57EXPL: 0

The STARTTLS implementation in Kerio Connect 7.1.4 build 2985 and MailServer 6.x does not properly restrict I/O buffering, which allows man-in-the-middle attackers to insert commands into encrypted SMTP sessions by sending a cleartext command that is processed after TLS is in place, related to a "plaintext command injection" attack, a similar issue to CVE-2011-0411. NOTE: some of these details are obtained from third party information. La implementación STARTTLS en Kerio Connect v7.1.4 build 2985 y MailServer v6.x no restringe de forma adecuada el búfer I/O, lo que permite atacantes "man-in-the-middle" insertar comandos en las sesiones SMTP cifrado mediante el envío de un comando de texto plano que se procesa después de TLS en su lugar, en relación con un ataque "inyección de comandos de texto claro", un problema similar a CVE-2011-0411. NOTA: algunos de estos detalles han sido obtenidos de información de terceros. • http://secunia.com/advisories/43678 http://www.kb.cert.org/vuls/id/555316 http://www.kb.cert.org/vuls/id/MAPG-8D9M4P http://www.securityfocus.com/bid/46767 http://www.vupen.com/english/advisories/2011/0610 https://exchange.xforce.ibmcloud.com/vulnerabilities/65932 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 51EXPL: 0

Multiple cross-site scripting (XSS) vulnerabilities in Kerio MailServer before 6.6.2 allow remote attackers to inject arbitrary web script or HTML via the (1) folder parameter to mailCompose.php or the (2) daytime parameter to calendarEdit.php. NOTE: some of these details are obtained from third party information. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Kerio MailServer anterior a v6.6.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de los parámetros (1) "folder" a mailCompose.php o (2) "daytime" a calendarEdit.php. NOTA: algunos de estos detalles han sido obtenidos a partir de terceros. • http://secunia.com/advisories/32955 http://www.kerio.com/kms_history.html http://www.kerio.com/security_advisory.html http://www.securityfocus.com/bid/32863 http://www.vupen.com/english/advisories/2008/3442 https://exchange.xforce.ibmcloud.com/vulnerabilities/47397 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 51EXPL: 0

Cross-site scripting (XSS) vulnerability in error413.php in Kerio MailServer before 6.6.2 allows remote attackers to inject arbitrary web script or HTML via the sent parameter. NOTE: some of these details are obtained from third party information. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en error413.php en Kerio MailServer anterior a v6.6.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del parámetro "sent". NOTA: algunos de estos detalles han sido obtenidos a a partir de información de terceros. • http://secunia.com/advisories/32955 http://www.kerio.com/kms_history.html http://www.kerio.com/security_advisory.html http://www.securityfocus.com/bid/32863 http://www.vupen.com/english/advisories/2008/3442 https://exchange.xforce.ibmcloud.com/vulnerabilities/47398 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 8%CPEs: 2EXPL: 0

Buffer overflow in the Visnetic anti-virus plugin in Kerio MailServer before 6.5.0 might allow remote attackers to execute arbitrary code via unspecified vectors. Vulnerabilidad de desbordamiento de búfer en el Plugin Visnetic anti-virus en Kerio MailServer anterior a la v6.5.0, podría permitir a atacantes remotos ejecutar código de su elección a través de vectores no especificados. • http://secunia.com/advisories/29021 http://www.kerio.com/kms_history.html http://www.securityfocus.com/bid/27868 http://www.securitytracker.com/id?1019428 http://www.vupen.com/english/advisories/2008/0594 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 5.0EPSS: 1%CPEs: 30EXPL: 0

Unspecified vulnerability in Kerio MailServer before 6.5.0 allows remote attackers to cause a denial of service (crash) via unspecified vectors related to decoding of uuencoded input, which triggers memory corruption. Vulnerabilidad sin especificar en Kerio MailServer vesiones anteriores a 6.5.0 permite a atacantes remotos provocar una denegación de servicio (caída) a través de vectores no especificados relacionados con la decodificación de una entrada UUencoded, lo cual dispara una corrupción de memoria. • http://secunia.com/advisories/29021 http://www.kerio.com/kms_history.html http://www.securityfocus.com/bid/27868 http://www.securitytracker.com/id?1019428 http://www.vupen.com/english/advisories/2008/0594 • CWE-399: Resource Management Errors •