Request-tracker3.8
Уязвимости
31
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.83865
Распределение по критичности
Критический
0
Высокий
2
Средний
25
Низкий
4
Также сопоставлено как (исходные строки): request-tracker3.8
Топ уязвимостей
CVE-2009-2265Множественные уязвимости обхода каталогов в FCKeditor до версии 2.6.4.1 позволяют удаленным злоумышленникам создавать исполняемые файлы в произвольных каталогах через последовательности обхода каталогов во входных данных для неуказанных модулей соединителя, как это было использовано в реальных условиях для удаленного выполнения кода в июле 2009 года, связанного с файловым браузером и каталогом editor/filemanager/connectors/.
CVE-2014-9472Шлюз электронной почты в RT (также известный как Request Tracker) 3.0.0 до 4.x до версий 4.0.23 и 4.2.x до 4.2.10 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП и диска) через специально созданное электронное письмо.
CVE-2013-3370Request Tracker (RT) 3.8.x до 3.8.17 и 4.0.x до 4.0.13 неправильно ограничивает доступ к частным компонентам обратного вызова, что позволяет удаленным злоумышленникам оказывать неуказанное воздействие через прямой запрос.
CVE-2012-4732Уязвимость межсайтовой подделки запросов (CSRF) в Request Tracker (RT) 3.8.12 и других версиях до 3.8.15, а также 4.0.6 и других версиях до 4.0.8 позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, переключающих закладки тикетов.
CVE-2011-1686Множественные уязвимости SQL-инъекции в Best Practical Solutions RT 2.0.0 до 3.6.10, 3.8.0 до 3.8.9 и 4.0.0rc до 4.0.0rc7 позволяют удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через неуказанные векторы, как продемонстрировано чтением данных.
CVE-2015-1464RT (aka Request Tracker) до версий 4.0.23 и 4.2.x до 4.2.10 позволяет удаленным злоумышленникам перехватывать сеансы через URL-адрес RSS-канала.
CVE-2012-6579Best Practical Solutions RT 3.8.x до 3.8.15 и 4.0.x до 4.0.8, когда GnuPG включен, позволяет удаленным злоумышленникам настраивать шифрование или подпись для определенных исходящих сообщений электронной почты и, возможно, вызывать отказ в обслуживании (потеря удобочитаемости электронной почты) через сообщение электронной почты на адрес очереди.
CVE-2013-3369Request Tracker (RT) 3.8.x до 3.8.17 и 4.0.x до 4.0.13 позволяет удаленным аутентифицированным пользователям с разрешениями на просмотр страниц администрирования выполнять произвольные частные компоненты через неуказанные векторы.
CVE-2015-1165RT (aka Request Tracker) с 3.8.8 по 4.x до 4.0.23 и 4.2.x до 4.2.10 позволяет удаленным злоумышленникам получать конфиденциальные URL-адреса RSS-лент и данные тикетов через неуказанные векторы.
CVE-2013-3373Уязвимость CRLF-инъекции в Request Tracker (RT) 3.8.x до 3.8.17 и 4.0.x до 4.0.13 позволяет удаленным злоумышленникам внедрять произвольные HTTP-заголовки и проводить атаки HTTP-спуфинга через заголовок MIME.
CVE-2012-4884Уязвимость внедрения аргументов в Request Tracker (RT) 3.8.x до 3.8.15 и 4.0.x до 4.0.8 позволяет удаленным злоумышленникам создавать произвольные файлы через неуказанные векторы, связанные с клиентом GnuPG.
CVE-2012-4734Request Tracker (RT) 3.8.x до 3.8.15 и 4.0.x до 4.0.8 позволяет удаленным злоумышленникам проводить атаку "confused deputy" для обхода механизма защиты от CSRF и заставлять жертв "изменять произвольное состояние" через неизвестные векторы, связанные со специально созданной ссылкой.
CVE-2011-1685Best Practical Solutions RT 3.8.0 до 3.8.9 и 4.0.0rc до 4.0.0rc7, когда включена опция CustomFieldValuesSources (aka внешнее настраиваемое поле), позволяет удаленным аутентифицированным пользователям выполнять произвольный код через неуказанные векторы, как продемонстрировано атакой подделки межсайтовых запросов (CSRF).
CVE-2013-3374Неуказанная уязвимость в Request Tracker (RT) 3.8.x до 3.8.17 и 4.0.x до 4.0.13 при использовании хранилища сессий Apache::Session::File позволяет удаленным злоумышленникам получать конфиденциальную информацию (пользовательские предпочтения и кэши) через неизвестные векторы, связанные с "ограниченным повторным использованием сессии".
CVE-2013-3372Request Tracker (RT) 3.8.x до 3.8.17 и 4.0.x до 4.0.13 позволяет удаленным злоумышленникам внедрять множественные HTTP-заголовки Content-Disposition и, возможно, проводить атаки межсайтового скриптинга (XSS) через неуказанные векторы.
CVE-2013-3371Уязвимость межсайтового скриптинга (XSS) в Request Tracker (RT) 3.8.3 - 3.8.16 и 4.0.x до 4.0.13 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через имя файла вложения.
CVE-2012-6581Best Practical Solutions RT 3.8.x до 3.8.15 и 4.0.x до 4.0.8, когда GnuPG включен, позволяет удаленным злоумышленникам обходить предполагаемые ограничения на чтение ключей в связке ключей продукта и запускать исходящие сообщения электронной почты, подписанные произвольным сохраненным секретным ключом, используя привилегию подписи электронной почты в UI.
CVE-2012-6580Best Practical Solutions RT 3.8.x до 3.8.15 и 4.0.x до 4.0.8, когда GnuPG включен, не гарантирует, что UI помечает незашифрованные сообщения как незашифрованные, что может облегчить удаленным злоумышленникам подделку деталей происхождения сообщения или вмешательство в аудит политики шифрования через сообщение электронной почты на адрес очереди.
CVE-2012-6578Best Practical Solutions RT 3.8.x до 3.8.15 и 4.0.x до 4.0.8, когда GnuPG включен с конфигурацией очереди "Sign by default", использует ключ очереди для подписи, что может позволить удаленным злоумышленникам подделывать сообщения, используя отсутствие семантики аутентификации.
CVE-2011-1690Best Practical Solutions RT 3.6.0 до 3.6.10 и 3.8.0 до 3.8.8 позволяет удаленным злоумышленникам обманом заставить пользователей отправлять учетные данные на произвольный сервер через неуказанные векторы.
CVE-2011-1689Множественные уязвимости межсайтового скриптинга (XSS) в Best Practical Solutions RT 2.0.0 до 3.6.10, 3.8.0 до 3.8.9 и 4.0.0rc до 4.0.0rc7 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2011-1688Уязвимость обхода каталогов в Best Practical Solutions RT 3.2.0 до 3.6.10, 3.8.0 до 3.8.9 и 4.0.0rc до 4.0.0rc7 позволяет удаленным злоумышленникам читать произвольные файлы через специально созданный HTTP-запрос.
CVE-2011-0009Best Practical Solutions RT 3.x до версии 3.8.9rc2 и 4.x до версии 4.0.0rc4 использует алгоритм MD5 для хешей паролей, что облегчает зависящим от контекста злоумышленникам определение паролей в виде открытого текста путем brute-force атаки на базу данных.
CVE-2009-3892Межсайтовый скриптинг (XSS) в Best Practical Solutions RT 3.6.x до 3.6.9, 3.8.x до 3.8.5 и других версиях 3.4.6 - 3.8.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через определенные пользовательские поля.
CVE-2009-2324Множественные уязвимости межсайтового скриптинга (XSS) в FCKeditor до версии 2.6.4.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через компоненты в каталоге samples (aka _samples).