CVE-2018-13440 – audiofile: NULL pointer dereference in ModuleState::setup() in modules/ModuleState.cpp allows for denial of service via crafted file
https://notcve.org/view.php?id=CVE-2018-13440
The audiofile Audio File Library 0.3.6 has a NULL pointer dereference bug in ModuleState::setup in modules/ModuleState.cpp, which allows an attacker to cause a denial of service via a crafted caf file, as demonstrated by sfconvert. audiofile Audio File Library 0.3.6 tiene un error de desreferencia de puntero NULL en ModuleState::setup en modules/ModuleState.cpp, lo que permite que un atacante provoque una denegación de servicio (DoS) mediante un archivo caf manipulado, tal y como queda demostrado con sfconvert. • https://github.com/mpruett/audiofile/issues/49 https://usn.ubuntu.com/3800-1 https://access.redhat.com/security/cve/CVE-2018-13440 https://bugzilla.redhat.com/show_bug.cgi?id=1600367 • CWE-476: NULL Pointer Dereference •
CVE-2018-10360 – file: out-of-bounds read via a crafted ELF file
https://notcve.org/view.php?id=CVE-2018-10360
The do_core_note function in readelf.c in libmagic.a in file 5.33 allows remote attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted ELF file. La función do_core_note en readelf.c en libmagic.a en file 5.33 permite a atacantes remotos provocar una denegación de servicio (lectura fuera de límites y cierre inesperado de la aplicación) utilizando un archivo ELF manipulado. • http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00027.html http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00053.html https://github.com/file/file/commit/a642587a9c9e2dd7feacdf513c3643ce26ad3c22 https://security.gentoo.org/glsa/201806-08 https://usn.ubuntu.com/3686-1 https://usn.ubuntu.com/3686-2 https://access.redhat.com/security/cve/CVE-2018-10360 https://bugzilla.redhat.com/show_bug.cgi?id=1590000 • CWE-125: Out-of-bounds Read •
CVE-2018-3726
https://notcve.org/view.php?id=CVE-2018-3726
crud-file-server node module before 0.8.0 suffers from a Cross-Site Scripting vulnerability to a lack of validation of file names. El módulo de node crud-file-server en versiones anteriores a la 0.8.0 sufre de una vulnerabilidad de Cross-Site Scripting (XSS) debido a la falta de validación de los nombres de archivo. • https://github.com/ossf-cve-benchmark/CVE-2018-3726 https://github.com/omphalos/crud-file-server/commit/4155bfe068bf211b49a0b3ffd06e78cbaf1b40fa https://hackerone.com/reports/311101 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-3724
https://notcve.org/view.php?id=CVE-2018-3724
general-file-server node module suffers from a Path Traversal vulnerability due to lack of validation of currpath, which allows a malicious user to read content of any file with known path. El módulo de node general-file-server sufre de una vulnerabilidad de salto de directorio debido a la falta de validación de currpath, lo que permite que un usuario malicioso lea contenido de cualquier archivo con una ruta conocida. • https://hackerone.com/reports/310943 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-3733
https://notcve.org/view.php?id=CVE-2018-3733
crud-file-server node module before 0.9.0 suffers from a Path Traversal vulnerability due to incorrect validation of url, which allows a malicious user to read content of any file with known path. El módulo crud-file-server node en versiones anteriores a la 0.9.0 sufre de una vulnerabilidad de salto de directorio debido a la validación incorrecta de URL, que permite que un usuario malicioso lea contenido de cualquier archivo con una ruta conocida. • https://github.com/ossf-cve-benchmark/CVE-2018-3733 https://github.com/omphalos/crud-file-server/commit/4fc3b404f718abb789f4ce4272c39c7a138c7a82 https://hackerone.com/reports/310690 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •