CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2021-41634
https://notcve.org/view.php?id=CVE-2021-41634
24 Jun 2022 — A user enumeration vulnerability in MELAG FTP Server 2.2.0.4 allows an attacker to identify valid FTP usernames. Una vulnerabilidad de enumeración de usuarios en MELAG FTP Server versión 2.2.0.4, permite a un atacante identificar nombres de usuario FTP válidos • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-203: Observable Discrepancy •
CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-41635
https://notcve.org/view.php?id=CVE-2021-41635
24 Jun 2022 — When installed as Windows service MELAG FTP Server 2.2.0.4 is run as SYSTEM user, which grants remote attackers to abuse misconfigurations or vulnerabilities with administrative access over the entire host system. Cuando es instalado como servicio de Windows, MELAG FTP Server versión 2.2.0.4, es ejecutado como usuario SYSTEM, lo que permite a atacantes remotos abusar de configuraciones erróneas o vulnerabilidades con acceso administrativo sobre todo el sistema anfitrión • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-276: Incorrect Default Permissions •
CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-41636
https://notcve.org/view.php?id=CVE-2021-41636
24 Jun 2022 — MELAG FTP Server 2.2.0.4 allows an attacker to use the CWD command to break out of the FTP servers root directory and operate on the entire operating system, while the access restrictions of the user running the FTP server apply. MELAG FTP Server versión 2.2.0.4, permite a un atacante usar el comando CWD para salir del directorio root del servidor FTP y operar en todo el sistema operativo, mientras son aplicadas las restricciones de acceso del usuario que ejecuta el servidor FTP • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-41637
https://notcve.org/view.php?id=CVE-2021-41637
24 Jun 2022 — Weak access control permissions in MELAG FTP Server 2.2.0.4 allow the "Everyone" group to read the local FTP configuration file, which includes among other information the unencrypted passwords of all FTP users. Unos permisos débiles de control de acceso en MELAG FTP Server versión 2.2.0.4, permiten al grupo "Everyone" leer el archivo de configuración local del FTP, que incluye, entre otra información, las contraseñas no cifradas de todos los usuarios del FTP • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-276: Incorrect Default Permissions •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-41638
https://notcve.org/view.php?id=CVE-2021-41638
24 Jun 2022 — The authentication checks of the MELAG FTP Server in version 2.2.0.4 are incomplete, which allows a remote attacker to access local files only by using a valid username. Unas comprobaciones de autenticación de MELAG FTP Server en la versión 2.2.0.4 son incompletas, lo que permite a un atacante remoto acceder a archivos locales sólo usando un nombre de usuario válido • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-287: Improper Authentication •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-41639
https://notcve.org/view.php?id=CVE-2021-41639
24 Jun 2022 — MELAG FTP Server 2.2.0.4 stores unencrpyted passwords of FTP users in a local configuration file. MELAG FTP Server versión 2.2.0.,4 almacena las contraseñas no cifradas de los usuarios de FTP en un archivo de configuración local • https://www.securesystems.de/blog/advisory-and-exploitation-the-melag-ftp-server • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 1CVE-2019-25046 – Cerberus FTP Web Service 11 - 'svg' Stored Cross-Site Scripting (XSS)
https://notcve.org/view.php?id=CVE-2019-25046
10 Jun 2021 — The Web Client in Cerberus FTP Server Enterprise before 10.0.19 and 11.x before 11.0.4 allows XSS via an SVG document. El Cliente Web en Cerberus FTP Server Enterprise versiones anteriores a 10.0.19 y 11.x versiones anteriores a 11.0.4 permite un XSS por medio de un documento SVG • https://www.exploit-db.com/exploits/49981 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9499 – The Accellion FTP server prior to version FTA_9_12_220 is vulnerable to cross-site scripting.
https://notcve.org/view.php?id=CVE-2016-9499
13 Jul 2018 — Accellion FTP server prior to version FTA_9_12_220 only returns the username in the server response if the username is invalid. An attacker may use this information to determine valid user accounts and enumerate them. El servidor Accellion FTP en versiones anteriores a FTA_9_12_220 solo devuelve el nombre de usuario en la respuesta del servidor si el nombre de usuario no es válido. Un atacante podría usar esta información para determinar cuentas de usuario válidas y enumerarlas. • https://www.kb.cert.org/vuls/id/745607 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-204: Observable Response Discrepancy •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9500 – The Accellion FTP server prior to version FTA_9_12_220 is vulnerable to informaiton exposure
https://notcve.org/view.php?id=CVE-2016-9500
13 Jul 2018 — Accellion FTP server prior to version FTA_9_12_220 uses the Accusoft Prizm Content flash component, which contains multiple parameters (customTabCategoryName, customButton1Image) that are vulnerable to cross-site scripting. El servidor Accellion FTP en versiones anteriores a FTA_9_12_220 emplea el componente de flash Accusoft Prizm Content, que contiene múltiples parámetros (customTabCategoryName, customButton1Image) que son vulnerables a Cross-Site Scripting (XSS). • https://www.kb.cert.org/vuls/id/745607 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •
CVSS: 4.8EPSS: 0%CPEs: 132EXPL: 1CVE-2012-6339
https://notcve.org/view.php?id=CVE-2012-6339
31 Dec 2012 — Multiple cross-site scripting (XSS) vulnerabilities in the administrative web interface in Cerberus FTP Server before 5.0.6.0 allow (1) remote attackers to inject arbitrary web script or HTML via a log entry that is not properly handled within the Log Manager component, and might allow (2) remote authenticated administrators to inject arbitrary web script or HTML via a Messages field to the servermanager program. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en l... • http://archives.neohapsis.com/archives/bugtraq/2012-12/0118.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •