CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-31597
https://notcve.org/view.php?id=CVE-2023-31597
18 May 2023 — An issue in Zammad v5.4.0 allows attackers to bypass e-mail verification using an arbitrary address and manipulate the data of the generated user. Attackers are also able to gain unauthorized access to existing tickets. • https://zammad.com/de/advisories/zaa-2023-03 • CWE-863: Incorrect Authorization •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27332
https://notcve.org/view.php?id=CVE-2022-27332
27 Apr 2022 — An access control issue in Zammad v5.0.3 allows attackers to write entries to the CTI caller log without authentication. This vulnerability can allow attackers to execute phishing attacks or cause a Denial of Service (DoS). Un problema de control de acceso en Zammad versión v5.0.3, permite a atacantes escribir entradas en el registro de llamadas de CTI sin autenticación. Esta vulnerabilidad puede permitir a atacantes ejecutar ataques de phishing o causar una Denegación de Servicio (DoS) • https://zammad.com/en/advisories/zaa-2022-01 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27331
https://notcve.org/view.php?id=CVE-2022-27331
27 Apr 2022 — An access control issue in Zammad v5.0.3 broadcasts administrative configuration changes to all users who have an active application instance, including settings that should only be visible to authenticated users. Un problema de control de acceso en Zammad versión v5.0.3, difunde los cambios de configuración administrativa a todos los usuarios que presentan una instancia de aplicación activa, incluyendo ajustes que sólo deberían ser visibles para usuarios autenticados • https://zammad.com/de/advisories/zaa-2022-02 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42137
https://notcve.org/view.php?id=CVE-2021-42137
11 Oct 2021 — An issue was discovered in Zammad before 5.0.1. In some cases, there is improper enforcement of the privilege requirement for viewing a list of tickets that shows title, state, etc. Se ha detectado un problema en Zammad versiones anteriores a 5.0.1. En algunos casos, se presenta una aplicación inapropiada del requisito de privilegio para visualizar una lista de tickets que muestra el título, el estado, etc • https://zammad.com/en/advisories/zaa-2021-19 • CWE-863: Incorrect Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42084
https://notcve.org/view.php?id=CVE-2021-42084
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. An attacker with valid agent credentials may send a series of crafted requests that cause an endless loop and thus cause denial of service. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Un atacante con credenciales de agente válidas puede enviar una serie de peticiones diseñadas que causan un bucle sin fin y, por tanto, causan una denegación de servicio • https://zammad.com/en/advisories/zaa-2021-11 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42085
https://notcve.org/view.php?id=CVE-2021-42085
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. There is stored XSS via a custom Avatar. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Se presenta una vulnerabilidad de tipo XSS almacenado por medio de un avatar personalizado • https://zammad.com/en/advisories/zaa-2021-17 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42086
https://notcve.org/view.php?id=CVE-2021-42086
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. An Agent account can modify account data, and gain admin access, via a crafted request. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Una cuenta de agente puede modificar los datos de la cuenta, y obtener acceso de administrador, por medio de una petición diseñada • https://zammad.com/en/advisories/zaa-2021-09 •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42087
https://notcve.org/view.php?id=CVE-2021-42087
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. An admin can discover the application secret via the API. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. Un administrador puede detectar el secreto de la aplicación por medio de la API • https://zammad.com/en/advisories/zaa-2021-15 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42088
https://notcve.org/view.php?id=CVE-2021-42088
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. The Chat functionality allows XSS because clipboard data is mishandled. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. La funcionalidad Chat permite un ataque de tipo XSS porque los datos del portapapeles son manejados inapropiadamente • https://zammad.com/en/advisories/zaa-2021-12 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-42089
https://notcve.org/view.php?id=CVE-2021-42089
07 Oct 2021 — An issue was discovered in Zammad before 4.1.1. The REST API discloses sensitive information. Se ha detectado un problema en Zammad versiones anteriores a 4.1.1. La API REST divulga información confidencial • https://zammad.com/en/advisories/zaa-2021-13 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •