CVE-2017-11666
https://notcve.org/view.php?id=CVE-2017-11666
Cross-site scripting (XSS) vulnerability in js/ViewerPanel.js in the file previewer plugin in Kopano WebApp versions 3.3.0 and earlier allows remote attackers to inject arbitrary web script or HTML via a specially crafted previewable file. Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo js/ViewerPanel.js en el plugin file previewer en Kopano WebApp versiones 3.3.0 y anteriores, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de un archivo de vista previa especialmente creado. • https://stash.kopano.io/projects/KWA/repos/filepreviewer/commits/85d2b5c2d27f461bba12e9491fcc4b0d8fde771a • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2014-9465
https://notcve.org/view.php?id=CVE-2014-9465
senddocument.php in Zarafa WebApp before 2.0 beta 3 and WebAccess in Zarafa Collaboration Platform (ZCP) 7.x before 7.1.12 beta 1 and 7.2.x before 7.2.0 beta 1 allows remote attackers to cause a denial of service (/tmp disk consumption) by uploading a large number of files. senddocument.php en Zarafa WebApp anterior a 2.0 beta 3 y WebAccess en Zarafa Collaboration Platform (ZCP) 7.x anterior a 7.1.12 beta 1 y 7.2.x anterior a 7.2.0 beta 1 permite a atacantes remotos causar una denegación de servicio (consumo de disco /tmp) mediante la subida de un número grande de ficheros. • http://advisories.mageia.org/MGASA-2015-0049.html http://download.zarafa.com/community/beta/7.1/changelog-7.1.txt http://download.zarafa.com/community/beta/7.2/changelog-7.2.txt http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156112.html http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156228.html http://security.robert-scheck.de/cve-2014-9465-zarafa http://www.mandriva.com/security/advisories?name=MDVSA-2015:040 http://www.openwall.com/lists • CWE-399: Resource Management Errors •
CVE-2014-0103
https://notcve.org/view.php?id=CVE-2014-0103
WebAccess in Zarafa before 7.1.10 and WebApp before 1.6 stores credentials in cleartext, which allows local Apache users to obtain sensitive information by reading the PHP session files. WebAccess en Zarafa anterior a 7.1.10 y WebApp anterior a 1.6 almacena las credenciales en texto claro, lo que permite a usuarios locales de Apache obtener información sensible mediante la lectura de los ficheros PHP de sesión. • http://advisories.mageia.org/MGASA-2014-0380.html http://lists.fedoraproject.org/pipermail/package-announce/2014-July/136033.html http://lists.fedoraproject.org/pipermail/package-announce/2014-July/136044.html http://www.mandriva.com/security/advisories?name=MDVSA-2014:182 http://www.securityfocus.com/bid/68247 https://bugzilla.redhat.com/show_bug.cgi?id=1073618 • CWE-310: Cryptographic Issues •
CVE-2007-3421
https://notcve.org/view.php?id=CVE-2007-3421
The (1) login, (2) admin profile edit, (3) reminder, (4) edit profile, (5) profile view, (6) gallery view, (7) gallery comment, and (8) gallery feedback capabilities in web-app.org WebAPP before 0.9.9.7 do not verify presence of users in memberlist.dat, which has unknown impact and remote attack vectors. Las funcionalidades (1) login, (2) admin profile edit, (3) reminder, (4) edit profile, (5) profile view, (6) gallery view, (7) gallery comment, and (8) gallery feedback en web-app.org WebAPP anterior a 0.9.9.7 no verifica la presencia de usuarios en memberlist.dat, lo cual tiene impacto y vectores de ataque remotos desconocidos. • http://osvdb.org/45402 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •
CVE-2007-3424
https://notcve.org/view.php?id=CVE-2007-3424
The moveim function in cgi-bin/cgi-lib/instantmessage.pl in web-app.org WebAPP before 0.9.9.7 uses the tocat parameter as a subdirectory name when moving an instant message, which has unknown impact and remote attack vectors. La función moveim en cgi-bin/cgi-lib/instantmessage.pl de web-app.org WebAPP anterior a 0.9.9.7 utiliza el parámetro tocat como un nombre de subdirectorio al mover un mensaje instantáneo, lo cual tiene impacto y vectores de ataque remotos desconocidos. • http://osvdb.org/45410 http://www.web-app.org/cgi-bin/index.cgi?action=forum&board=how_to&op=display&num=9458 http://www.web-app.org/downloads/WebAPPv0.9.9.7.zip •