CVSS: 3.9EPSS: 0%CPEs: 6EXPL: 0CVE-2020-11736 – file-roller: directory traversal via directory symlink pointing outside of the target directory
https://notcve.org/view.php?id=CVE-2020-11736
fr-archive-libarchive.c in GNOME file-roller through 3.36.1 allows Directory Traversal during extraction because it lacks a check of whether a file's parent is a symlink to a directory outside of the intended extraction location. El archivo fr-archive-libarchive.c en GNOME file-roller versiones hasta 3.36.1, permite un Salto del Directorio durante la extracción porque carece de una comprobación de si el padre de un archivo es un enlace simbólico en un directorio fuera de la ubicación de extracción prevista. • https://gitlab.gnome.org/GNOME/file-roller/-/commit/21dfcdbfe258984db89fb65243a1a888924e45a0 https://lists.debian.org/debian-lts-announce/2020/04/msg00013.html https://security.gentoo.org/glsa/202009-06 https://usn.ubuntu.com/4332-1 https://usn.ubuntu.com/4332-2 https://access.redhat.com/security/cve/CVE-2020-11736 https://bugzilla.redhat.com/show_bug.cgi?id=1824985 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 1CVE-2019-20326
https://notcve.org/view.php?id=CVE-2019-20326
A heap-based buffer overflow in _cairo_image_surface_create_from_jpeg() in extensions/cairo_io/cairo-image-surface-jpeg.c in GNOME gThumb before 3.8.3 and Linux Mint Pix before 2.4.5 allows attackers to cause a crash and potentially execute arbitrary code via a crafted JPEG file. Un desbordamiento de búfer en la región heap de la memoria en la función _cairo_image_surface_create_from_jpeg() en el archivo extensions/cairo_io/cairo-image-surface-jpeg.c en GNOME gThumb versiones anteriores a 3.8.3 y Linux Mint Pix versiones anteriores a 2.4.5, permite a atacantes causar un bloqueo y ejecutar potencialmente código arbitrario por medio de un archivo JPEG diseñado. • https://github.com/Fysac/CVE-2019-20326 https://gitlab.gnome.org/GNOME/gthumb/commit/4faa5ce2358812d23a1147953ee76f59631590ad https://gitlab.gnome.org/GNOME/gthumb/commit/ca8f528209ab78935c30e42fe53bdf1a24f3cb44 https://gitlab.gnome.org/GNOME/gthumb/commits/master/extensions/cairo_io/cairo-image-surface-jpeg.c https://lists.debian.org/debian-lts-announce/2021/08/msg00027.html https://security.gentoo.org/glsa/202008-05 • CWE-787: Out-of-bounds Write •
CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 1CVE-2012-1096 – GNOME NetworkManager 0.x - Local Arbitrary File Access
https://notcve.org/view.php?id=CVE-2012-1096
NetworkManager 0.9 and earlier allows local users to use other users' certificates or private keys when making a connection via the file path when adding a new connection. NetworkManager versiones 0.9 y anteriores, permiten a usuarios locales utilizar certificados privados o claves privadas de otros usuarios cuando se realiza una conexión mediante la ruta del archivo al agregar una nueva conexión. • https://www.exploit-db.com/exploits/36887 http://www.openwall.com/lists/oss-security/2012/03/02/3 https://access.redhat.com/security/cve/cve-2012-1096 https://bugzilla.gnome.org/show_bug.cgi?id=793329 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-1096 https://bugzilla.suse.com/show_bug.cgi?id=CVE-2012-1096 https://security-tracker.debian.org/tracker/CVE-2012-1096 • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 2%CPEs: 6EXPL: 0CVE-2012-0828
https://notcve.org/view.php?id=CVE-2012-0828
Heap-based buffer overflow in Xchat-WDK before 1499-4 (2012-01-18) xchat 2.8.6 on Maemo architecture could allow remote attackers to cause a denial of service (xchat client crash) or execute arbitrary code via a UTF-8 line from server containing characters outside of the Basic Multilingual Plane (BMP). Un desbordamiento del búfer en la región heap de la memoria en xchat versión 2.8.6 sobre la arquitectura Maemo de Xchat-WDK versiones anteriores a 1499-4 (18-01-2012), podría permitir a atacantes remotos causar una denegación de servicio (DoS) (bloqueo del cliente xchat) o ejecutar código arbitrario por medio de una línea UTF-8 desde el servidor que contiene caracteres fuera del Basic Multilingual Plane (BMP). • http://www.openwall.com/lists/oss-security/2012/02/01/9 https://access.redhat.com/security/cve/cve-2012-0828 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-0828 https://security-tracker.debian.org/tracker/CVE-2012-0828 • CWE-787: Out-of-bounds Write •
CVSS: 6.5EPSS: 0%CPEs: 10EXPL: 0CVE-2019-20446 – librsvg: Resource exhaustion via crafted SVG file with nested patterns
https://notcve.org/view.php?id=CVE-2019-20446
In xml.rs in GNOME librsvg before 2.46.2, a crafted SVG file with nested patterns can cause denial of service when passed to the library for processing. The attacker constructs pattern elements so that the number of final rendered objects grows exponentially. En el archivo xml.rs en GNOME librsvg versiones anteriores a 2.46.2, un archivo SVG diseñado con patrones anidados puede causar una denegación de servicio cuando es pasado a la biblioteca para su procesamiento. El atacante construye elementos de patrón para que el número de objetos renderizados finales aumente exponencialmente. • http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00024.html https://gitlab.gnome.org/GNOME/librsvg/issues/515 https://lists.debian.org/debian-lts-announce/2020/07/msg00016.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6IOHSO6BUKC6I66J5PZOMAGFVJ66ZS57 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/X3B5RWJQD5LA45MYLLR55KZJOJ5NVZGP https://security.netapp.com/advisory/ntap-20221111-0004 https://usn.ubuntu.com/443 • CWE-400: Uncontrolled Resource Consumption •