CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-50453
https://notcve.org/view.php?id=CVE-2023-50453
An issue was discovered in Zammad before 6.2.0. It uses the public endpoint /api/v1/signshow for its login screen. This endpoint returns internal configuration data of user object attributes, such as selectable values, which should not be visible to the public. Se descubrió un problema en Zammad antes de la versión 6.2.0. Utiliza el endpoint público /api/v1/signshow para su pantalla de inicio de sesión. • https://zammad.com/en/advisories/zaa-2023-08 •
CVSS: 5.9EPSS: 0%CPEs: 3EXPL: 0CVE-2023-50454
https://notcve.org/view.php?id=CVE-2023-50454
An issue was discovered in Zammad before 6.2.0. In several subsystems, SSL/TLS was used to establish connections to external services without proper validation of hostname and certificate authority. This is exploitable by man-in-the-middle attackers. Se descubrió un problema en Zammad antes de la versión 6.2.0. En varios subsistemas, se utilizó SSL/TLS para establecer conexiones a servicios externos sin la validación adecuada del nombre de host y la autoridad certificadora. • https://zammad.com/en/advisories/zaa-2023-04 • CWE-295: Improper Certificate Validation •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-50456
https://notcve.org/view.php?id=CVE-2023-50456
An issue was discovered in Zammad before 6.2.0. An attacker can trigger phishing links in generated notification emails via a crafted first or last name. Se descubrió un problema en Zammad antes de la versión 6.2.0. Un atacante puede activar enlaces de phishing en correos electrónicos de notificación generados a través de un nombre o apellido manipulados. • https://zammad.com/en/advisories/zaa-2023-07 •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2023-50455
https://notcve.org/view.php?id=CVE-2023-50455
An issue was discovered in Zammad before 6.2.0. Due to lack of rate limiting in the "email address verification" feature, an attacker could send many requests for a known address to cause Denial Of Service (generation of many emails, which would also spam the victim). Se descubrió un problema en Zammad antes de la versión 6.2.0. Debido a la falta de limitación de velocidad en la función "verificación de dirección de correo electrónico", un atacante podría enviar muchas solicitudes a una dirección conocida para provocar una denegación de servicio (generación de muchos correos electrónicos, que también enviarían spam a la víctima). • https://zammad.com/en/advisories/zaa-2023-06 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-50457
https://notcve.org/view.php?id=CVE-2023-50457
An issue was discovered in Zammad before 6.2.0. When listing tickets linked to a knowledge base answer, or knowledge base answers of a ticket, a user could see entries for which they lack permissions. Se descubrió un problema en Zammad antes de la versión 6.2.0. Al enumerar tickets vinculados a una respuesta de la base de conocimientos, o respuestas de la base de conocimientos de un ticket, un usuario podría ver entradas para las que carece de permisos. • https://zammad.com/en/advisories/zaa-2023-05 • CWE-863: Incorrect Authorization •