Package mailman updated to version 2.1.34.0.3.1d42a-alt2 for branch c9f2 in task 276671.

Published: 2020-06-24

BDU:2020-03224

Уязвимость страницы входа в личный архив Cgi/private.py системы управления почтовыми рассылками GNU Mailman, позволяющая нарушителю внедрить произвольный контент

Severity: MEDIUM (5.4) Vector: AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

References:

CVE-2020-15011

Published: 2020-04-24

BDU:2020-03997

Уязвимость программного обеспечения для управления рассылками электронных писем Mailman, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных

Severity: MEDIUM (4.7) Vector: AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

References:

CVE-2020-12137

Published: 2020-05-06
Modified: 2024-11-21

CVE-2020-12108

/options/mailman in GNU Mailman before 2.1.31 allows Arbitrary Content Injection.

Severity: MEDIUM (6.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

References:

Published: 2020-04-24
Modified: 2024-11-21

CVE-2020-12137

GNU Mailman 2.x before 2.1.30 uses the .obj extension for scrubbed application/octet-stream MIME parts. This behavior may contribute to XSS attacks against list-archive visitors, because an HTTP reply from an archive web server may lack a MIME type, and a web browser may perform MIME sniffing, conclude that the MIME type should have been text/html, and execute JavaScript code.

Severity: MEDIUM (6.1) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

References:

Published: 2020-06-24
Modified: 2024-11-21

CVE-2020-15011

GNU Mailman before 2.1.33 allows arbitrary content injection via the Cgi/private.py private archive login page.

Severity: MEDIUM (4.3) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

References:

MAILMAN_SITE_LIST = None breaks initial setup

Version: 2.1.0

Package mailman update in c9f2 on 2021-07-26

ALT-PU-2021-2340-1

Closed vulnerabilities

BDU:2020-03224

BDU:2020-03997

CVE-2020-12108

CVE-2020-12137

CVE-2020-15011

Closed bugs

Bug #36460