2 results (0.009 seconds)

CVSS: 6.8EPSS: 0%CPEs: 57EXPL: 0

The STARTTLS implementation in Kerio Connect 7.1.4 build 2985 and MailServer 6.x does not properly restrict I/O buffering, which allows man-in-the-middle attackers to insert commands into encrypted SMTP sessions by sending a cleartext command that is processed after TLS is in place, related to a "plaintext command injection" attack, a similar issue to CVE-2011-0411. NOTE: some of these details are obtained from third party information. La implementación STARTTLS en Kerio Connect v7.1.4 build 2985 y MailServer v6.x no restringe de forma adecuada el búfer I/O, lo que permite atacantes "man-in-the-middle" insertar comandos en las sesiones SMTP cifrado mediante el envío de un comando de texto plano que se procesa después de TLS en su lugar, en relación con un ataque "inyección de comandos de texto claro", un problema similar a CVE-2011-0411. NOTA: algunos de estos detalles han sido obtenidos de información de terceros. • http://secunia.com/advisories/43678 http://www.kb.cert.org/vuls/id/555316 http://www.kb.cert.org/vuls/id/MAPG-8D9M4P http://www.securityfocus.com/bid/46767 http://www.vupen.com/english/advisories/2011/0610 https://exchange.xforce.ibmcloud.com/vulnerabilities/65932 • CWE-20: Improper Input Validation •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

Cross-site scripting (XSS) vulnerability in the Integration page in the WebMail component in Kerio MailServer 6.6.0, 6.6.1, 6.6.2, and 6.7.0 allows remote attackers to inject arbitrary web script or HTML via an e-mail message. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la página Integration en el componente WebMail en Kerio MailServer v6.6.0, v6.6.1, v6.6.2, y v6.7.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML de forma arbitraria a través de un mensaje de correo electrónico. • http://osvdb.org/54928 http://secunia.com/advisories/35392 http://www.kerio.com/support/security-advisories#0906 http://www.securityfocus.com/bid/35264 http://www.securitytracker.com/id?1022348 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •