CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0CVE-2024-21892 – nodejs: code injection and privilege escalation through Linux capabilities
https://notcve.org/view.php?id=CVE-2024-21892
On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges. En Linux, Node.js ignora ciertas variables de entorno si pueden haber sido configuradas por un usuario sin privilegios mientras el proceso se ejecuta con privilegios elevados con la única excepción de CAP_NET_BIND_SERVICE. Debido a un error en la implementación de esta excepción, Node.js aplica incorrectamente esta excepción incluso cuando se han configurado otras capacidades. Esto permite a los usuarios sin privilegios inyectar código que hereda los privilegios elevados del proceso. A flaw was found in Node.js. • http://www.openwall.com/lists/oss-security/2024/03/11/1 https://hackerone.com/reports/2237545 https://security.netapp.com/advisory/ntap-20240322-0003 https://access.redhat.com/security/cve/CVE-2024-21892 https://bugzilla.redhat.com/show_bug.cgi?id=2264582 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.6EPSS: 0%CPEs: -EXPL: 0CVE-2024-0715 – EL Injection Vulnerability in Hitachi Global Link Manager
https://notcve.org/view.php?id=CVE-2024-0715
Expression Language Injection vulnerability in Hitachi Global Link Manager on Windows allows Code Injection.This issue affects Hitachi Global Link Manager: before 8.8.7-03. La vulnerabilidad de inyección de lenguaje de expresión en Hitachi Global Link Manager en Windows permite la inyección de código. Este problema afecta a Hitachi Global Link Manager: versiones anteriores a 8.8.7-03. • https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2024-112/index.html • CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1297 – Loomio 2.22.0 - Code injection
https://notcve.org/view.php?id=CVE-2024-1297
Loomio version 2.22.0 allows executing arbitrary commands on the server. This is possible because the application is vulnerable to OS Command Injection. La versión 2.22.0 de Loomio permite ejecutar comandos arbitrarios en el servidor. Esto es posible porque la aplicación es vulnerable a la inyección de comandos del sistema operativo. • https://fluidattacks.com/advisories/stones https://github.com/loomio/loomio • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: -EPSS: 0%CPEs: 7EXPL: 0CVE-2023-52381
https://notcve.org/view.php?id=CVE-2023-52381
Script injection vulnerability in the email module.Successful exploitation of this vulnerability may affect service confidentiality, integrity, and availability. Vulnerabilidad de inyección de script en el módulo de correo electrónico. La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad, integridad y disponibilidad del servicio. • https://consumer.huawei.com/en/support/bulletin/2024/2 https://device.harmonyos.com/cn/docs/security/update/security-bulletins-202402-0000001834855405 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 1CVE-2024-25298
https://notcve.org/view.php?id=CVE-2024-25298
An issue was discovered in REDAXO version 5.15.1, allows attackers to execute arbitrary code and obtain sensitive information via modules.modules.php. Se descubrió un problema en REDAXO versión 5.15.1, que permite a los atacantes ejecutar código arbitrario y obtener información confidencial a través de module.modules.php. • https://github.com/CpyRe/I-Find-CVE-2024/blob/main/REDAXO%20RCE.md • CWE-94: Improper Control of Generation of Code ('Code Injection') •