1. CVE-Search
  2. CVE-2018-1000671
ID CVE-2018-1000671
Summary sympa version 6.2.16 and later contains a CWE-601: URL Redirection to Untrusted Site ('Open Redirect') vulnerability in The "referer" parameter of the wwsympa.fcgi login action. that can result in Open redirection and reflected XSS via data URIs. This attack appear to be exploitable via Victim's browser must follow a URL supplied by the attacker. This vulnerability appears to have been fixed in none available.
References
Vulnerable Configurations
  • cpe:2.3:a:sympa:sympa:6.2.16:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.16:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.16:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.16:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.17:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.17:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.17:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.17:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.18:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.18:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.18:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.18:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.19:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.19:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.19:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.19:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.20:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.20:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.20:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.20:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.22:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.22:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.22:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.22:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.23:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.23:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.23:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.23:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.23:beta3:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.23:beta3:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.24:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.24:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.24:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.24:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.25:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.25:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.25:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.25:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.25:beta3:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.25:beta3:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.26:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.26:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.26:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.26:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.28:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.28:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.28:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.28:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.30:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.30:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.30:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.30:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.32:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.32:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.32:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.32:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.33:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.33:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.33:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.33:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.34:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.34:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.34:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.34:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.35:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.35:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.35:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.35:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.36:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.36:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.36:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.36:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.37:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.37:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.37:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.37:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.37:beta3:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.37:beta3:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.38:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.38:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.38:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.38:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.40:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.40:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.40:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.40:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.41:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.41:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.41:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.41:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.42:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.42:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.42:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.42:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.43:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.43:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.43:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.43:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.44:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.44:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.45:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.45:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.45:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.45:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.45:beta3:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.45:beta3:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.46:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.46:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.48:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.48:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.49:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.49:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.49:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.49:beta2:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.49:beta3:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.49:beta3:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.50:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.50:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.52:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.52:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.52:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.52:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.54:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.54:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.56:*:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.56:*:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.56:-:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.56:-:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.57:beta1:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.57:beta1:*:*:*:*:*:*
  • cpe:2.3:a:sympa:sympa:6.2.57:beta2:*:*:*:*:*:*
    cpe:2.3:a:sympa:sympa:6.2.57:beta2:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
CVSS
Base: 5.8 (as of 09-11-2020 - 15:15)
Impact:
Exploitability:
CWE CWE-601
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:P/I:P/A:N
refmap via4
misc https://github.com/sympa-community/sympa/issues/268
mlist
  • [debian-lts-announce] 20180921 [SECURITY] [DLA 1512-1] sympa security update
  • [debian-lts-announce] 20201109 [SECURITY] [DLA 2441-1] sympa security update
ubuntu USN-4442-1
Last major update 09-11-2020 - 15:15
Published 06-09-2018 - 18:29
Last modified 09-11-2020 - 15:15
Back to Top