The archive management (arc_manage) page in wwsympa/wwsympa.fcgi.in in Sympa before 6.1.11 does not check permissions, which allows remote attackers to list, read, and delete arbitrary list archives via vectors related to the (1) do_arc_manage, (2) do_arc_download, or (3) do_arc_delete functions.

No CVSS v3.1

No CVSS v3.0

Access Vector Network

Access Complexity Low

Authentication None

Confidentiality Impact Partial

Integrity Impact Partial

Availability Impact Partial

AV:N/AC:L/Au:N/C:P/I:P/A:P
Vendors Products
Sympa
  • Sympa

Configuration 1 [-]

OR cpe:2.3:a:sympa:sympa:*:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.001:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.002:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.003:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.004:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.005:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.006:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.007:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.008:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.009:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.010:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:0.011:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.2.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.1-2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.3.4-1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.4.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.4.2-1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:1.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.1b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.2b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.3b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2.7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.2b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3:beta:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.3.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.5.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.5.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.5.3b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.5.4b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.6.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7a:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7b.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:2.7b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0a:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0a.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0b.8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.0b.9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.10:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.12:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.1b.13:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.2.2a:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.4b.9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3.6b.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.3b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:3.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.a9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.b1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.b2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.0.b3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.2b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:4.2b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.0a:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.0a.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.0b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.0b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.1.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.2b:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.2b2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3a.8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3a.9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3a.10:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.3b.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4a.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4a.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:5.4b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0b.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.0b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.5:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.6:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.7:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.8:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1.9:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1b.1:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1b.2:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1b.3:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1b.4:*:*:*:*:*:*:*
cpe:2.3:a:sympa:sympa:6.1b.6:*:*:*:*:*:*:*
References
Link Resource
http://secunia.com/advisories/49045 Vendor Advisory
http://secunia.com/advisories/49237 Vendor Advisory
http://www.debian.org/security/2012/dsa-2477
http://www.openwall.com/lists/oss-security/2012/05/11/8
http://www.openwall.com/lists/oss-security/2012/05/12/2
http://www.openwall.com/lists/oss-security/2012/05/12/8
http://www.osvdb.org/81890
http://www.securityfocus.com/bid/53503
https://sourcesup.renater.fr/scm/viewvc.php/branches/sympa-6.0-branch/wwsympa/wwsympa.fcgi.in?root=sympa&r1=6706&r2=7358&pathrev=7358
https://www.sympa.org/distribution/latest-stable/NEWS
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: redhat

Published: 2012-05-31T17:00:00

Updated: 2012-08-13T09:00:00

Reserved: 2012-04-19T00:00:00

Link: CVE-2012-2352

JSON object: View

cve-icon NVD Information

Status : Modified

Published: 2012-05-31T17:55:04.887

Modified: 2012-08-14T03:37:20.707

Link: CVE-2012-2352

JSON object: View

cve-icon Redhat Information

No data.

CWE