CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-19041 – Media File Manager <= 1.4.2 - Reflected Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2018-19041
05 Nov 2018 — The Media File Manager plugin 1.4.2 for WordPress allows XSS via the dir parameter of an mrelocator_getdir action to the wp-admin/admin-ajax.php URI. El plugin Media File Manager 1.4.2 para WordPress permite Cross-Site Scripting (XSS) en el parámetro dir de una acción mrelocator_getdir en el URI wp-admin/admin-ajax.php. • https://www.exploit-db.com/exploits/45809 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 92%CPEs: 1EXPL: 13CVE-2018-9206 – Tajer <= 1.0.5 - Arbitrary File Upload
https://notcve.org/view.php?id=CVE-2018-9206
11 Oct 2018 — Unauthenticated arbitrary file upload vulnerability in Blueimp jQuery-File-Upload <= v9.22.0 Vulnerabilidad de subida de archivos arbitrarios sin autenticar en Blueimp jQuery-File-Upload en versiones iguales o anteriores a la v9.22.0. The Tajer for WordPress is vulnerable to arbitrary file uploads due to inclusion of a vulnerable version of the Blueimp jQuery-File-Upload library in versions up to, and including, 1.0.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the aff... • https://packetstorm.news/files/id/151206 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 23%CPEs: 8EXPL: 2CVE-2018-17095 – audiofile: Heap-based buffer overflow in Expand3To4Module::run() when running sfconvert
https://notcve.org/view.php?id=CVE-2018-17095
16 Sep 2018 — An issue has been discovered in mpruett Audio File Library (aka audiofile) 0.3.6, 0.3.5, 0.3.4, 0.3.3, 0.3.2, 0.3.1, 0.3.0. A heap-based buffer overflow in Expand3To4Module::run has occurred when running sfconvert. Se ha descubierto un problema en mpruett Audio File Library (también conocido como audiofile) versiones 0.3.6, 0.3.5, 0.3.4, 0.3.3, 0.3.2, 0.3.1, 0.3.0. Ha ocurrido un desbordamiento de búfer basado en memoria dinámica (heap) en Expand3To4Module::run al ejecutar sfconvert It was discovered that a... • https://github.com/mpruett/audiofile/issues/50 • CWE-122: Heap-based Buffer Overflow CWE-787: Out-of-bounds Write •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16549
https://notcve.org/view.php?id=CVE-2018-16549
05 Sep 2018 — HScripts PHP File Browser Script v1.0 allows Directory Traversal via the index.php path parameter. HScripts PHP File Browser Script v1.0 permite salto de directorio mediante el parámetro path en index.php. • https://packetstormsecurity.com/files/149204 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2014-2079
https://notcve.org/view.php?id=CVE-2014-2079
16 Jul 2018 — X File Explorer (aka xfe) might allow local users to bypass intended access restrictions and gain access to arbitrary files by leveraging failure to use directory masks when creating files on Samba and NFS shares. X File Explorer (también conocido como xfe) podría permitir que usuarios locales omitan las restricciones de acceso planeadas y obtengan acceso a archivos arbitrarios aprovechando el error a la hora de emplear máscaras de directorio al crear archivos en las comparticiones Samba y NFS. • http://www.openwall.com/lists/oss-security/2014/02/24/5 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.5EPSS: 8%CPEs: 2EXPL: 1CVE-2018-13440 – audiofile: NULL pointer dereference in ModuleState::setup() in modules/ModuleState.cpp allows for denial of service via crafted file
https://notcve.org/view.php?id=CVE-2018-13440
08 Jul 2018 — The audiofile Audio File Library 0.3.6 has a NULL pointer dereference bug in ModuleState::setup in modules/ModuleState.cpp, which allows an attacker to cause a denial of service via a crafted caf file, as demonstrated by sfconvert. audiofile Audio File Library 0.3.6 tiene un error de desreferencia de puntero NULL en ModuleState::setup en modules/ModuleState.cpp, lo que permite que un atacante provoque una denegación de servicio (DoS) mediante un archivo caf manipulado, tal y como queda demostrado con sfconv... • https://github.com/mpruett/audiofile/issues/49 • CWE-476: NULL Pointer Dereference •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2018-10360 – file: out-of-bounds read via a crafted ELF file
https://notcve.org/view.php?id=CVE-2018-10360
11 Jun 2018 — The do_core_note function in readelf.c in libmagic.a in file 5.33 allows remote attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted ELF file. La función do_core_note en readelf.c en libmagic.a en file 5.33 permite a atacantes remotos provocar una denegación de servicio (lectura fuera de límites y cierre inesperado de la aplicación) utilizando un archivo ELF manipulado. Alexander Cherepanov discovered that file incorrectly handled a large number of notes. An attack... • http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00027.html • CWE-125: Out-of-bounds Read •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 1CVE-2018-3724
https://notcve.org/view.php?id=CVE-2018-3724
07 Jun 2018 — general-file-server node module suffers from a Path Traversal vulnerability due to lack of validation of currpath, which allows a malicious user to read content of any file with known path. El módulo de node general-file-server sufre de una vulnerabilidad de salto de directorio debido a la falta de validación de currpath, lo que permite que un usuario malicioso lea contenido de cualquier archivo con una ruta conocida. • https://hackerone.com/reports/310943 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 2CVE-2018-3726
https://notcve.org/view.php?id=CVE-2018-3726
07 Jun 2018 — crud-file-server node module before 0.8.0 suffers from a Cross-Site Scripting vulnerability to a lack of validation of file names. El módulo de node crud-file-server en versiones anteriores a la 0.8.0 sufre de una vulnerabilidad de Cross-Site Scripting (XSS) debido a la falta de validación de los nombres de archivo. • https://github.com/ossf-cve-benchmark/CVE-2018-3726 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 2CVE-2018-3733
https://notcve.org/view.php?id=CVE-2018-3733
29 May 2018 — crud-file-server node module before 0.9.0 suffers from a Path Traversal vulnerability due to incorrect validation of url, which allows a malicious user to read content of any file with known path. El módulo crud-file-server node en versiones anteriores a la 0.9.0 sufre de una vulnerabilidad de salto de directorio debido a la validación incorrecta de URL, que permite que un usuario malicioso lea contenido de cualquier archivo con una ruta conocida. • https://github.com/ossf-cve-benchmark/CVE-2018-3733 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •