CVSS: 6.7EPSS: %CPEs: -EXPL: 0CVE-2024-36078
https://notcve.org/view.php?id=CVE-2024-36078
In Zammad before 6.3.1, a Ruby gem bundled by Zammad is installed with world-writable file permissions. This allowed a local attacker on the server to modify the gem's files, injecting arbitrary code into Zammad processes (which run with the environment and permissions of the Zammad user). En Zammad anterior a 6.3.1, se instala una gema Ruby incluida en Zammad con permisos de archivos de escritura mundial. Esto permitió a un atacante local en el servidor modificar los archivos de la gema, inyectando código arbitrario en los procesos de Zammad (que se ejecutan con el entorno y los permisos del usuario de Zammad). • https://zammad.com/en/advisories/zaa-2024-04 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: -EXPL: 0CVE-2024-4264 – Remote Code Execution in berriai/litellm
https://notcve.org/view.php?id=CVE-2024-4264
A remote code execution (RCE) vulnerability exists in the berriai/litellm project due to improper control of the generation of code when using the `eval` function unsafely in the `litellm.get_secret()` method. Specifically, when the server utilizes Google KMS, untrusted data is passed to the `eval` function without any sanitization. Attackers can exploit this vulnerability by injecting malicious values into environment variables through the `/config/update` endpoint, which allows for the update of settings in `proxy_server_config.yaml`. Existe una vulnerabilidad de ejecución remota de código (RCE) en el proyecto berriai/litellm debido a un control inadecuado de la generación de código cuando se utiliza la función `eval` de forma insegura en el método `litellm.get_secret()`. Específicamente, cuando el servidor utiliza Google KMS, los datos que no son de confianza se pasan a la función "eval" sin ningún tipo de desinfección. • https://huntr.com/bounties/a3221b0c-6e25-4295-ab0f-042997e8fc61 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.3EPSS: 0%CPEs: -EXPL: 1CVE-2024-31974
https://notcve.org/view.php?id=CVE-2024-31974
The com.solarized.firedown (aka Solarized FireDown Browser & Downloader) application 1.0.76 for Android allows a remote attacker to execute arbitrary JavaScript code via a crafted intent. com.solarized.firedown.IntentActivity uses a WebView component to display web content and doesn't adequately sanitize the URI or any extra data passed in the intent by any installed application (with no permissions). La aplicación com.solarized.firedown (también conocida como Solarized FireDown Browser & Downloader) versión 1.0.76 para Android permite a un atacante remoto ejecutar código JavaScript arbitrario mediante una intención diseñada. com.solarized.firedown.IntentActivity utiliza un componente WebView para mostrar contenido web y no sanitiza adecuadamente el URI ni ningún dato adicional pasado en el intent por ninguna aplicación instalada (sin permisos). • https://github.com/actuator/com.solarized.firedown https://github.com/actuator/com.solarized.firedown/blob/main/CVE-2024-31974 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 0CVE-2024-22429
https://notcve.org/view.php?id=CVE-2024-22429
A local authenticated malicious user with admin privileges could potentially exploit this vulnerability, leading to arbitrary code execution. • https://www.dell.com/support/kbdoc/en-us/000221102/dsa-2024-020 • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: -EXPL: 0CVE-2024-23522 – WordPress Formidable Forms plugin <= 6.7 - Content Injection vulnerability
https://notcve.org/view.php?id=CVE-2024-23522
Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) vulnerability in Strategy11 Form Builder Team Formidable Forms allows Code Injection.This issue affects Formidable Forms: from n/a through 6.7. neutralización incorrecta de etiquetas HTML relacionadas con scripts en una vulnerabilidad de página web (XSS básico) en Strategy11 Form Builder Team Formidable Forms permite la inyección de código. Este problema afecta a Formidable Forms: desde n/a hasta 6.7. • https://patchstack.com/database/vulnerability/formidable/wordpress-formidable-forms-plugin-6-7-content-injection-vulnerability?_s_id=cve • CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •