4 results (0.003 seconds)

CVSS: 8.1EPSS: 13%CPEs: 3EXPL: 0

A buffer overflow was discovered in the URL-authentication backend of the Icecast before 2.4.4. If the backend is enabled, then any malicious HTTP client can send a request for that specific resource including a crafted header, leading to denial of service and potentially remote code execution. Se ha descubierto un desbordamiento de búfer en el backend de autenticación de URL en Icecast en versiones anteriores a la 2.4.4. Si el backend está habilitado, cualquier cliente HTTP malicioso puede enviar una petición para ese recurso concreto incluyendo una cabecera manipulada, lo que conduce a una denegación de servicio y a la potencial ejecución remota de código. • http://www.openwall.com/lists/oss-security/2018/11/01/3 http://www.securitytracker.com/id/1042019 https://lists.debian.org/debian-lts-announce/2018/11/msg00033.html https://security.gentoo.org/glsa/201811-09 https://www.debian.org/security/2018/dsa-4333 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •

CVSS: 5.0EPSS: 4%CPEs: 4EXPL: 1

Icecast before 2.4.2, when a stream_auth handler is defined for URL authentication, allows remote attackers to cause a denial of service (NULL pointer dereference and crash) via a request without login credentials, as demonstrated by a request to "admin/killsource?mount=/test.ogg." Icecast anterior a 2.4.2, cuando un manejador stream_auth está definido para la autenticación de URLs, permite a atacantes remotos causar una denegación de servicio (referencia a puntero nulo y caída) a través de una solicitud sin las credenciales de inicio de sesión, tal y como fue demostrado por una solicitud a 'admin/killsource?mount=/test.ogg.' • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/163859.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164074.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00030.html http://lists.xiph.org/pipermail/icecast-dev/2015-April/002460.html http://www.debian.org/security/2015/dsa-3239 http://www.openwall.com/lists/oss-security/2015/04/08/11 http://www.o •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

icecast before 2.3.3 allows remote attackers to inject control characters such as newlines into the error loc (error.log) via a crafted URL. icecast antes de v2.3.3 permite a atacantes remotos inyectar caracteres de control, tales como saltos de línea en registro de errores (error.log) a través de una URL maliciosa. • http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090668.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090695.html http://www.icecast.org https://bugzilla.redhat.com/show_bug.cgi?id=768176 • CWE-20: Improper Input Validation •

CVSS: 9.3EPSS: 10%CPEs: 6EXPL: 0

Multiple buffer overflows in src/ezstream.c in Ezstream before 0.3.0 allow remote attackers to execute arbitrary code via a crafted XML configuration file processed by the (1) urlParse function, which causes a stack-based overflow and the (2) ReplaceString function, which causes a heap-based overflow. NOTE: some of these details are obtained from third party information. Múltiples desbordamientos de búfer en el src/ezstream.c del Ezstream before 0.3.0 permiten a atacantes remotos ejecutar código de su elección mediante la manipulación del fichero de configuración XML procesado por (1) la función urlParse, lo que provoca desbordamientos basados en pila y (2) la función ReplaceString, lo que provoca desbordamientos basados en montón. NOTA: algunos de los detalles se obtienen a partir de la información de terceros. • http://osvdb.org/33869 http://secunia.com/advisories/24383 http://www.icecast.org/ezstream.php#ez_relnotes http://www.securityfocus.com/bid/22840 http://www.vupen.com/english/advisories/2007/0852 https://exchange.xforce.ibmcloud.com/vulnerabilities/32867 •