ID CVE-2015-8474
Summary Open redirect vulnerability in the valid_back_url function in app/controllers/application_controller.rb in Redmine before 2.6.7, 3.0.x before 3.0.5, and 3.1.x before 3.1.1 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a crafted back_url parameter, as demonstrated by "@attacker.com," a different vulnerability than CVE-2014-1985. <a href="http://cwe.mitre.org/data/definitions/601.html">CWE-601: URL Redirection to Untrusted Site ('Open Redirect')</a>
References
Vulnerable Configurations
  • cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.7.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.7.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.8.7:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.8.7:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:0.9.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:0.9.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:1.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:1.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.1.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:2.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:2.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:redmine:redmine:3.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:redmine:redmine:3.1.0:*:*:*:*:*:*:*
CVSS
Base: 5.8 (as of 20-04-2016 - 21:16)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:P/I:P/A:N
refmap via4
bid 78625
confirm
debian DSA-3529
Last major update 20-04-2016 - 21:16
Published 12-04-2016 - 14:59
Last modified 20-04-2016 - 21:16
Back to Top