CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 1CVE-2021-46019
https://notcve.org/view.php?id=CVE-2021-46019
An untrusted pointer dereference in rec_db_destroy() at rec-db.c of GNU Recutils v1.8.90 can lead to a segmentation fault or application crash. Una desreferencia de puntero no confiable en la función rec_db_destroy() del archivo rec-db.c de GNU Recutils versión v1.8.90, puede conllevar a un fallo de segmentación o un fallo de la aplicación • https://github.com/gnu-mirror-unofficial/recutils/commit/34b75ed7ad492c8e38b669ebafe0176f1f9992d2 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TDVOFC3HTBG7DF2PZTEXRMG4CV2F55UF https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VRSXSN2XF6PX74WDYVV26TQMYIFAEQ3T https://lists.gnu.org/archive/html/bug-recutils/2021-12/msg00009.html • CWE-476: NULL Pointer Dereference •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 1CVE-2021-3997
https://notcve.org/view.php?id=CVE-2021-3997
A flaw was found in systemd. An uncontrolled recursion in systemd-tmpfiles may lead to a denial of service at boot time when too many nested directories are created in /tmp. Se ha encontrado un fallo en systemd. Una recursión no controlada en systemd-tmpfiles puede conllevar a una denegación de servicio en el momento del arranque cuando son creados demasiados directorios anidados en /tmp. • https://access.redhat.com/security/cve/CVE-2021-3997 https://bugzilla.redhat.com/show_bug.cgi?id=2024639 https://github.com/systemd/systemd/commit/5b1cf7a9be37e20133c0208005274ce4a5b5c6a1 https://security.gentoo.org/glsa/202305-15 https://www.openwall.com/lists/oss-security/2022/01/10/2 • CWE-674: Uncontrolled Recursion •
CVSS: 5.3EPSS: 61%CPEs: 12EXPL: 0CVE-2022-23134 – Zabbix Frontend Improper Access Control Vulnerability
https://notcve.org/view.php?id=CVE-2022-23134
After the initial setup process, some steps of setup.php file are reachable not only by super-administrators, but by unauthenticated users as well. Malicious actor can pass step checks and potentially change the configuration of Zabbix Frontend. Después del proceso de configuración inicial, algunos pasos del archivo setup.php son accesibles no sólo para los superadministradores, sino también para los usuarios no autenticados. Un actor malicioso puede pasar las comprobaciones de los pasos y potencialmente cambiar la configuración de Zabbix Frontend Malicious actors can pass step checks and potentially change the configuration of Zabbix Frontend. • https://lists.debian.org/debian-lts-announce/2022/02/msg00008.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6SZYHXINBKCY42ITFSNCYE7KCSF33VRA https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VB6W556GVXOKUYTASTDGL3AI7S3SJHX7 https://support.zabbix.com/browse/ZBX-20384 • CWE-284: Improper Access Control CWE-287: Improper Authentication •
CVSS: 6.3EPSS: 0%CPEs: 5EXPL: 0CVE-2022-23133 – Stored XSS in host groups configuration window in Zabbix Frontend
https://notcve.org/view.php?id=CVE-2022-23133
An authenticated user can create a hosts group from the configuration with XSS payload, which will be available for other users. When XSS is stored by an authenticated malicious actor and other users try to search for groups during new host creation, the XSS payload will fire and the actor can steal session cookies and perform session hijacking to impersonate users or take over their accounts. Un usuario autenticado puede crear un grupo de hosts desde la configuración con el payload de tipo XSS, que estará disponible para otros usuarios. Cuando un actor malicioso autenticado almacena XSS y otros usuarios intentan buscar grupos durante la creación de nuevos hosts, la carga útil de tipo XSS se dispara y el actor puede robar las cookies de sesión y llevar a cabo un secuestro de sesión para suplantar a los usuarios o hacerse con sus cuentas • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6SZYHXINBKCY42ITFSNCYE7KCSF33VRA https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VB6W556GVXOKUYTASTDGL3AI7S3SJHX7 https://support.zabbix.com/browse/ZBX-20388 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2022-23132 – Incorrect permissions of [/var/run/zabbix] forces dac_override
https://notcve.org/view.php?id=CVE-2022-23132
During Zabbix installation from RPM, DAC_OVERRIDE SELinux capability is in use to access PID files in [/var/run/zabbix] folder. In this case, Zabbix Proxy or Server processes can bypass file read, write and execute permissions check on the file system level Durante la instalación de Zabbix desde RPM, es usada la capacidad DAC_OVERRIDE SELinux para acceder a los archivos PID en la carpeta [/var/run/zabbix]. En este caso, los procesos del proxy o del servidor de Zabbix pueden omitir la comprobación de los permisos de lectura, escritura y ejecución de los archivos en el nivel del sistema de archivos • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6SZYHXINBKCY42ITFSNCYE7KCSF33VRA https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VB6W556GVXOKUYTASTDGL3AI7S3SJHX7 https://support.zabbix.com/browse/ZBX-20341 • CWE-284: Improper Access Control CWE-732: Incorrect Permission Assignment for Critical Resource •