CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-40644 – gitoxide's gix-path can use a fake program files location
https://notcve.org/view.php?id=CVE-2024-40644
Such a user can perform privilege escalation and execute code as another user, though it may be difficult to do so reliably because the targeted user account must run an application or service that uses `gix-path` and must not have `git` in its `PATH`. ... Mientras que `gix-path` primero busca `git` usando una búsqueda `PATH`, en la versión 0.10.8 también tiene una estrategia alternativa en Windows para verificar dos rutas codificadas destinadas a ser de 64 bits y 32 bits. ... Una vez que se ha colocado una carga útil en la segunda de las dos rutas codificadas de esta manera, otras cuentas de usuario, incluidos los administradores, la ejecutarán si ejecutan una aplicación que usa `gix-path` y no tienen `git` en un directorio `PATH`. • https://github.com/Byron/gitoxide/blob/6cd8b4665bb7582f744c3244abaef812be39ec35/gix-path/src/env/git.rs#L9-L14 https://github.com/Byron/gitoxide/commit/15235bf7968042da0493d431bbc955d6f9f54188 https://github.com/Byron/gitoxide/security/advisories/GHSA-mgvv-9p9g-3jv4 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.5EPSS: 0%CPEs: -EXPL: 0CVE-2024-40764
https://notcve.org/view.php?id=CVE-2024-40764
Heap-based buffer overflow vulnerability in the SonicOS IPSec VPN allows an unauthenticated remote attacker to cause Denial of Service (DoS). Una vulnerabilidad de desbordamiento de búfer basada en montón en SonicOS IPSec VPN permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS). • https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0012 • CWE-122: Heap-based Buffer Overflow •
CVSS: 7.5EPSS: 0%CPEs: -EXPL: 0CVE-2024-20323
https://notcve.org/view.php?id=CVE-2024-20323
A successful exploit could allow the attacker to read data that is meant for a legitimate device, modify the startup configuration of an associated node, and, consequently, cause a denial of service (DoS) condition for downstream devices that are connected to the affected node. ... Un exploit exitoso podría permitir al atacante leer datos destinados a un dispositivo legítimo, modificar la configuración de inicio de un nodo asociado y, en consecuencia, causar una condición de denegación de servicio (DoS) para los dispositivos posteriores que están conectados al nodo afectado. • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-inode-static-key-VUVCeynn • CWE-321: Use of Hard-coded Cryptographic Key •
CVSS: 9.8EPSS: 0%CPEs: -EXPL: 0CVE-2024-20401
https://notcve.org/view.php?id=CVE-2024-20401
The attacker could then perform any of the following actions: add users with root privileges, modify the device configuration, execute arbitrary code, or cause a permanent denial of service (DoS) condition on the affected device. Note: Manual intervention is required to recover from the DoS condition. Customers are advised to contact the Cisco Technical Assistance Center (TAC) to help recover a device in this condition. ... Luego, el atacante podría realizar cualquiera de las siguientes acciones: agregar usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) permanente en el dispositivo afectado. Nota: Se requiere intervención manual para recuperarse de la condición DoS. Se recomienda a los clientes que se comuniquen con el Centro de asistencia técnica de Cisco (TAC) para ayudar a recuperar un dispositivo en esta condición. • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH • CWE-36: Absolute Path Traversal •
CVSS: 8.6EPSS: 0%CPEs: 2EXPL: 0CVE-2023-7272 – Eclipse Parsson stack overflow with deeply nested objects
https://notcve.org/view.php?id=CVE-2023-7272
In Eclipse Parsson before 1.0.4 and 1.1.3, a document with a large depth of nested objects can allow an attacker to cause a Java stack overflow exception and denial of service. • https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/12 • CWE-787: Out-of-bounds Write •