CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2014-2384
https://notcve.org/view.php?id=CVE-2014-2384
vmx86.sys in VMware Workstation 10.0.1 build 1379776 and VMware Player 6.0.1 build 1379776 on Windows might allow local users to cause a denial of service (read access violation and system crash) via a crafted buffer in an IOCTL call. NOTE: the researcher reports "Vendor rated issue as non-exploitable." vmx86.sys en VMware Workstation 10.0.1 build 1379776 y VMware Player 6.0.1 build 1379776 en Windows podría permitir a usuarios locales causar una denegación de servicio (violación de lectura de acceso y caída de sistema) a través de un buffer manipulado en una llamada IOCTL. NOTA: el investigador informa que "el proveedor clasifico el problema como no explotable." • http://seclists.org/fulldisclosure/2014/Apr/163 https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-2384 • CWE-399: Resource Management Errors •
CVSS: 9.3EPSS: 0%CPEs: 4EXPL: 0CVE-2014-1209
https://notcve.org/view.php?id=CVE-2014-1209
VMware vSphere Client 4.0, 4.1, 5.0 before Update 3, and 5.1 before Update 2 does not properly validate updates to Client files, which allows remote attackers to trigger the downloading and execution of an arbitrary program via unspecified vectors. VMware vSphere Client 4.0, 4.1, 5.0 anterior a Update 3 y 5.1 anterior a Update 2 no valida debidamente actualizaciones a archivos de clientes, lo que permite a atacantes remotos provocar la descarga y ejecución de un programa arbitrario a través de vectores no especificados. • http://www.vmware.com/security/advisories/VMSA-2014-0003.html • CWE-20: Improper Input Validation •
CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2014-1210
https://notcve.org/view.php?id=CVE-2014-1210
VMware vSphere Client 5.0 before Update 3 and 5.1 before Update 2 does not properly validate X.509 certificates, which allows man-in-the-middle attackers to spoof SSL servers via a crafted certificate. VMware vSphere Client 5.0 anterior a Update 3 y 5.1 anterior a Update 2 no valida debidamente certificados X.509, lo que permite a atacantes man-in-the-middle falsificar servidores SSL a través de un certificado manipulado. • http://www.vmware.com/security/advisories/VMSA-2014-0003.html • CWE-310: Cryptographic Issues •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0CVE-2014-0097
https://notcve.org/view.php?id=CVE-2014-0097
The ActiveDirectoryLdapAuthenticator in Spring Security 3.2.0 to 3.2.1 and 3.1.0 to 3.1.5 does not check the password length. If the directory allows anonymous binds then it may incorrectly authenticate a user who supplies an empty password. El ActiveDirectoryLdapAuthenticator en Spring Security versiones de la 3.2.0 a la 3.2.1 y de la 3.1.0 a la 3.1.5 no chequea la longitud de la contraseña. Si el directorio permite enlaces anónimos entonces podría autenticar de forma incorrecta a un usuario que proporcionase una contraseña vacía. • https://pivotal.io/security/cve-2014-0097 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-287: Improper Authentication •
CVSS: 6.8EPSS: 25%CPEs: 34EXPL: 0CVE-2014-0054 – Framework: incomplete fix for CVE-2013-7315/CVE-2013-6429
https://notcve.org/view.php?id=CVE-2014-0054
The Jaxb2RootElementHttpMessageConverter in Spring MVC in Spring Framework before 3.2.8 and 4.0.0 before 4.0.2 does not disable external entity resolution, which allows remote attackers to read arbitrary files, cause a denial of service, and conduct CSRF attacks via crafted XML, aka an XML External Entity (XXE) issue. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-4152, CVE-2013-7315, and CVE-2013-6429. Jaxb2RootElementHttpMessageConverter en Spring MVC en Spring Framework anterior a 3.2.8 y 4.0.0 anterior a 4.0.2 no deshabilita resolución de entidad externa, lo que permite a atacantes remotos leer archivos arbitrarios, causar una denegación de servicio y realizar ataques CSRF a través de XML manipulado, también conocido como un problema de entidad externa XML (XXE). NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2013-4152, CVE-2013-7315 y CVE-2013-6429. • http://rhn.redhat.com/errata/RHSA-2014-0400.html http://secunia.com/advisories/57915 http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html http://www.securityfocus.com/bid/66148 https://jira.spring.io/browse/SPR-11376 https://access.redhat.com/security/cve/CVE-2014-0054 https://bugzilla.redhat.com/show_bug.cgi?id=1075328 • CWE-352: Cross-Site Request Forgery (CSRF) •