CVSS: 3.7EPSS: 0%CPEs: 26EXPL: 0CVE-2022-39399 – OpenJDK: missing SNI caching in HTTP/2 (Networking, 8289366)
https://notcve.org/view.php?id=CVE-2022-39399
., code that comes from the internet) and rely on the Java sandbox for security. ... Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java con sandbox, que cargan y ejecutan código no confiable (por ejemplo, código procedente de Internet) y que dependen del sandbox de Java para su seguridad. • https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/37QDWJBGEPP65X43NXQTXQ7KASLUHON6 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/EXSBV3W6EP6B7XJ63Z2FPVBH6HAPGJ5T https://security.gentoo.org/glsa/202401-25 https://security.netapp.com/advisory/ntap-20221028-0012 https://www.oracle.com/security-alerts/cpuoct2022.html https://access.redhat.com/security/cve/CVE-2022-39399 https://bugzilla.redhat.com/show_bug.cgi?id=2133776 • CWE-290: Authentication Bypass by Spoofing •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-39266 – isolated-vm has vulnerable CachedDataOptions in API
https://notcve.org/view.php?id=CVE-2022-39266
In versions 4.3.6 and prior, if the untrusted v8 cached data is passed to the API through CachedDataOptions, attackers can bypass the sandbox and run arbitrary code in the nodejs process. ... En versiones 4.3.6 y anteriores, si los datos en caché de v8 que no son confiables son pasados a la API mediante CachedDataOptions, los atacantes pueden omitir el sandbox y ejecutar código arbitrario en el proceso de nodejs. • https://github.com/laverdet/isolated-vm/commit/218e87a6d4e8cb818bea76d1ab30cd0be51920e8 https://github.com/laverdet/isolated-vm/commits/v4.3.7 https://github.com/laverdet/isolated-vm/issues/379 https://github.com/laverdet/isolated-vm/security/advisories/GHSA-2jjq-x548-rhpv • CWE-20: Improper Input Validation CWE-693: Protection Mechanism Failure •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-3308
https://notcve.org/view.php?id=CVE-2022-3308
Insufficient policy enforcement in developer tools in Google Chrome prior to 106.0.5249.62 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Medium) La aplicación insuficiente de políticas en las herramientas de desarrollo de Google Chrome anteriores a la versión 106.0.5249.62 permitía a un atacante remoto realizar potencialmente un escape de la sandbox a través de una página HTML manipulada. • https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html https://crbug.com/1342722 •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2022-3309
https://notcve.org/view.php?id=CVE-2022-3309
Use after free in assistant in Google Chrome on ChromeOS prior to 106.0.5249.62 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially perform a sandbox escape via specific UI gestures. (Chromium security severity: Medium) Use-after-free en el asistente de Google Chrome en ChromeOS anterior a la versión 106.0.5249.62 permitía a un atacante remoto convencer a un usuario de realizar gestos de interfaz de usuario específicos para potencialmente realizar un escape de la sandbox mediante gestos de interfaz de usuario específicos. • https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html https://crbug.com/1348415 • CWE-416: Use After Free •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-3311
https://notcve.org/view.php?id=CVE-2022-3311
Use after free in import in Google Chrome prior to 106.0.5249.62 allowed a remote attacker who had compromised a WebUI process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Medium) Use-after-free en la función importar en Google Chrome anterior a la versión 106.0.5249.62 permitió a un atacante remoto que había comprometido un proceso de WebUI realizar potencialmente un escape de la sandbox a través de una página HTML manipulada. • https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop_27.html https://crbug.com/1302813 • CWE-416: Use After Free •