CVSS: 2.4EPSS: 0%CPEs: 1EXPL: 0CVE-2012-4452 – mysql: regression of CVE-2009-4030
https://notcve.org/view.php?id=CVE-2012-4452
MySQL 5.0.88, and possibly other versions and platforms, allows local users to bypass certain privilege checks by calling CREATE TABLE on a MyISAM table with modified (1) DATA DIRECTORY or (2) INDEX DIRECTORY arguments that are originally associated with pathnames without symlinks, and that can point to tables created at a future time at which a pathname is modified to contain a symlink to a subdirectory of the MySQL data home directory, related to incorrect calculation of the mysql_unpacked_real_data_home value. NOTE: this vulnerability exists because of a CVE-2009-4030 regression, which was not omitted in other packages and versions such as MySQL 5.0.95 in Red Hat Enterprise Linux 6. MySQL v5.0.88 enlaces simbólicos, y posiblemente otras versiones y plataformas, permite a usuarios locales eludir ciertos privilegios llamando a CREATE TABLE en una tabla MyISAM con argumentos (1) DATA DIRECTORY o (2) INDEX DIRECTORY modificados que son originalmente asociados con rutas sin enlaces simbólicos, y que pueden apuntar a tablas creadas en un momento futuro en el que una ruta es modificada para contener un enlace simbólico a un subdirectorio del directorio de datos de MySQL. Se trata de un problema relacionado con el cálculo incorrecto del valor mysql_unpacked_real_data_home . NOTA: esta vulnerabilidad se debe a una regresión al CVE-2009-4030, que no fue evitado en algunos paquetes y versiones probados, como MySQL v5.0.95 en Red Hat Enterprise Linux 6. • http://rhn.redhat.com/errata/RHSA-2013-0121.html http://www.openwall.com/lists/oss-security/2012/09/27/1 http://www.securityfocus.com/bid/55715 https://bugzilla.redhat.com/show_bug.cgi?id=860808 https://access.redhat.com/security/cve/CVE-2012-4452 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 1%CPEs: 85EXPL: 3CVE-2009-5026 – Oracle MySQL < 5.1.50 - Privilege Escalation
https://notcve.org/view.php?id=CVE-2009-5026
The executable comment feature in MySQL 5.0.x before 5.0.93 and 5.1.x before 5.1.50, when running in certain slave configurations in which the slave is running a newer version than the master, allows remote attackers to execute arbitrary SQL commands via custom comments. La característica de comentarios ejecutables en MySQL v5.0.x antes de v5.0.93 y v5.1.x antes de v5.1.50, cuando se ejecuta con ciertas configuraciones de esclavos en la que el esclavo está ejecutando una versión más reciente que el maestro, permite a atacantes remotos ejecutar comandos SQL a través de comentarios personalizados. • https://www.exploit-db.com/exploits/34796 http://bugs.mysql.com/bug.php?id=49124 http://dev.mysql.com/doc/refman/5.0/en/news-5-0-93.html http://dev.mysql.com/doc/refman/5.1/en/news-5-1-50.html http://lists.opensuse.org/opensuse-security-announce/2012-08/msg00007.html http://seclists.org/oss-sec/2011/q4/101 http://secunia.com/advisories/49179 https://bugzilla.redhat.com/show_bug.cgi?id=640177 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.0EPSS: 1%CPEs: 95EXPL: 0CVE-2012-2749 – mysql: crash caused by wrong calculation of key length for sort order index
https://notcve.org/view.php?id=CVE-2012-2749
MySQL 5.1.x before 5.1.63 and 5.5.x before 5.5.24 allows remote authenticated users to cause a denial of service (mysqld crash) via vectors related to incorrect calculation and a sort order index. MySQL v5.1.x antes de v5.1.63 y v5.5.x antes de v5.5.24 permite a usuarios remotos autenticados causar una denegación de servicio (por caída de mysqld) a través de vectores relacionados con un cálculo incorrecto y un índice de orden de clasificación. • http://dev.mysql.com/doc/refman/5.1/en/news-5-1-63.html http://rhn.redhat.com/errata/RHSA-2012-1462.html http://rhn.redhat.com/errata/RHSA-2013-0180.html http://secunia.com/advisories/51309 http://secunia.com/advisories/53372 http://security.gentoo.org/glsa/glsa-201308-06.xml http://www.mandriva.com/security/advisories?name=MDVSA-2013:150 http://www.securityfocus.com/bid/55120 https://bugzilla.redhat.com/show_bug.cgi?id=833737 https://access.redhat.com/se • CWE-399: Resource Management Errors •
CVSS: 10.0EPSS: 0%CPEs: 3EXPL: 0CVE-2012-2750
https://notcve.org/view.php?id=CVE-2012-2750
Unspecified vulnerability in MySQL 5.5.x before 5.5.23 has unknown impact and attack vectors related to a "Security Fix", aka Bug #59533. NOTE: this might be a duplicate of CVE-2012-1689, but as of 20120816, Oracle has not commented on this possibility. Una vulnerabilidad no especificada en MySQL v5.5.x antes de v5.5.23 tiene un impacto y vectores de ataque desconocidos relacionados con una "revisión de seguridad". Se trata de un problema también conocido como Bug #59533. NOTA: este podría ser un duplicado de CVE-2012-1689, pero a 16/08/2012, Oracle no se ha pronunciado sobre esta posibilidad. • http://dev.mysql.com/doc/refman/5.5/en/news-5-5-23.html http://www.debian.org/security/2013/dsa-2780 http://www.mandriva.com/security/advisories?name=MDVSA-2013:250 http://www.securityfocus.com/bid/63125 http://www.securitytracker.com/id/1029184 https://bugzilla.redhat.com/show_bug.cgi?id=833742 •
CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2012-1757
https://notcve.org/view.php?id=CVE-2012-1757
Unspecified vulnerability in Oracle MySQL Server 5.5.23 and earlier allows remote authenticated users to affect availability via unknown vectors related to InnoDB. Vulnerabilidad no especificada en Oracle MySQL Server v5.5.23 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con InnoDB. • http://osvdb.org/83977 http://www.mandriva.com/security/advisories?name=MDVSA-2013:150 http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html http://www.securityfocus.com/bid/54526 http://www.securitytracker.com/id?1027263 https://exchange.xforce.ibmcloud.com/vulnerabilities/77062 •