3 results (0.016 seconds)

CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 0

KDE-Workspace 4.10.5 and earlier does not properly handle the return value of the glibc 2.17 crypt and pw_encrypt functions, which allows remote attackers to cause a denial of service (NULL pointer dereference and crash) via (1) an invalid salt or a (2) DES or (3) MD5 encrypted password, when FIPS-140 is enable, to KDM or an (4) invalid password to KCheckPass. KDE-Workspace 4.10.5 y anteriores no gestiona de forma adecuada el valor de retorno de glibc 2.17 crypt y funciones pw_encrypt, lo que permite a atacantes remotos provocar una denegación de servicio (referencia a puntero nulo y cuelgue) a través de (1) un "salt" invalido o una contraseña cifrada, cuando FIPS-140 está habilitado, para KDM o una (4) contraseña no válida para KCheckPass. • http://lists.opensuse.org/opensuse-updates/2013-07/msg00082.html http://lists.opensuse.org/opensuse-updates/2013-08/msg00002.html http://seclists.org/oss-sec/2013/q3/117 http://seclists.org/oss-sec/2013/q3/120 https://git.reviewboard.kde.org/r/111261 • CWE-310: Cryptographic Issues •

CVSS: 4.3EPSS: 0%CPEs: 8EXPL: 0

The KDE SSL Wrapper (KSSL) API in KDE SC 4.6.0 through 4.7.1, and possibly earlier versions, does not use a certain font when rendering certificate fields in a security dialog, which allows remote attackers to spoof the common name (CN) of a certificate via rich text. La API KDE SSL Wrapper (KSSL) en KDE SC v4.6.0 hasta 4.7.1 y posiblemente versiones anteriores, no utiilizan una fuente concreta cuando renderizan los campos de certificado en un diálogo de seguridad, lo que permite a atacantes remotos falsificar el nombre común (CN) de un certificado a través de un texto enriquecido. • http://www.kde.org/info/security/advisory-20111003-1.txt http://www.mandriva.com/security/advisories?name=MDVSA-2011:162 http://www.redhat.com/support/errata/RHSA-2011-1364.html http://www.redhat.com/support/errata/RHSA-2011-1385.html https://bugzilla.redhat.com/show_bug.cgi?id=743054 https://access.redhat.com/security/cve/CVE-2011-3365 • CWE-20: Improper Input Validation •

CVSS: 6.8EPSS: 1%CPEs: 11EXPL: 2

Directory traversal vulnerability in Ark 4.7.x and earlier allows remote attackers to delete and force the display of arbitrary files via .. (dot dot) sequences in a zip file. Vulnerabilidad de salto de directorio en Ark 4.7.x y anteriores permite a atacantes remotos eliminar y forzar la visualización de archivos arbitrarios a través de secuencias .. (punto punto) en un archivo zip. Ark version 2.16 suffers from a directory traversal vulnerability when handling a malformed ZIP file. • http://lists.opensuse.org/opensuse-updates/2012-03/msg00002.html http://packetstormsecurity.com/files/105610/Ark-2.16-Directory-Traversal.html http://seclists.org/fulldisclosure/2011/Oct/351 http://www.ubuntu.com/usn/USN-1276-1 https://bugzilla.novell.com/show_bug.cgi?id=708268 https://bugzilla.redhat.com/show_bug.cgi?id=725764 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •