CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-11997
https://notcve.org/view.php?id=CVE-2020-11997
Apache Guacamole 1.2.0 and earlier do not consistently restrict access to connection history based on user visibility. If multiple users share access to the same connection, those users may be able to see which other users have accessed that connection, as well as the IP addresses from which that connection was accessed, even if those users do not otherwise have permission to see other users. Apache Guacamole versiones 1.2.0 y anteriores, no restringen constantemente el acceso al historial de conexiones según la visibilidad del usuario. Si múltiples usuarios comparten el acceso a la misma conexión, esos usuarios pueden ser capaz de visualizar qué otros usuarios han accedido a esa conexión, así como las direcciones IP desde las que se accedió a esa conexión, inclusive si esos usuarios no tienen permiso para visualizar otros usuarios • https://lists.apache.org/thread.html/r1a9ae9d1608c9f846875c4191cd738f95543d1be06b52dc1320e8117%40%3Cannounce.guacamole.apache.org%3E • CWE-276: Incorrect Default Permissions •
CVSS: 6.7EPSS: 0%CPEs: 4EXPL: 0CVE-2020-9498
https://notcve.org/view.php?id=CVE-2020-9498
Apache Guacamole 1.1.0 and older may mishandle pointers involved inprocessing data received via RDP static virtual channels. If a userconnects to a malicious or compromised RDP server, a series ofspecially-crafted PDUs could result in memory corruption, possiblyallowing arbitrary code to be executed with the privileges of therunning guacd process. Apache Guacamole versiones 1.1.0 y anteriores, pueden manejar inapropiadamente los punteros involucrados en el procesamiento de datos recibidos por medio de canales virtuales estáticos RDP. Si un usuario se conecta a un servidor RDP malicioso o comprometido, una serie de PDU especialmente diseñadas podrían resultar en corrupción en la memoria, posiblemente permitiendo una ejecución de código arbitraria con los privilegios del proceso guacd en ejecución • https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44525 https://lists.apache.org/thread.html/r1125f3044a0946d1e7e6f125a6170b58d413ebd4a95157e4608041c7%40%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/r26fb170edebff842c74aacdb1333c1338f0e19e5ec7854d72e4680fc%40%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/r90890afea72a9571d666820b2fe5942a0a5f86be406fa31da3dd0922%40%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/rff824b38ebd2fddc726b816f0e509696b83b9f78979d0cd021ca623b%40%3Cannounce.guacamole.apache.org%3E https://lists.deb • CWE-787: Out-of-bounds Write •
CVSS: 4.4EPSS: 0%CPEs: 4EXPL: 0CVE-2020-9497
https://notcve.org/view.php?id=CVE-2020-9497
Apache Guacamole 1.1.0 and older do not properly validate datareceived from RDP servers via static virtual channels. If a userconnects to a malicious or compromised RDP server, specially-craftedPDUs could result in disclosure of information within the memory ofthe guacd process handling the connection. Apache Guacamole versiones 1.1.0 y anteriores, no comprueban apropiadamente los datos recibidos desde servidores RDP por medio de canales virtuales estáticos. Si un usuario se conecta a un servidor RDP malicioso o comprometido, las PDU especialmente diseñadas podrían resultar en divulgación de información dentro de la memoria del proceso guacd que maneja la conexión • https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44525 https://lists.apache.org/thread.html/r066543f0565e97b27c0dfe27e93e8a387b99e1e35764000224ed96e7%40%3Cuser.guacamole.apache.org%3E https://lists.apache.org/thread.html/r1125f3044a0946d1e7e6f125a6170b58d413ebd4a95157e4608041c7%40%3Cannounce.apache.org%3E https://lists.apache.org/thread.html/r181b1d5b1acb31cfa69f41b2c86ed3a2cb0b5bc09c2cbd31e9e7c847%40%3Cuser.guacamole.apache.org%3E https://lists.apache.org/thread.html/r3f071de70ea1facd3601e0fa894e6cadc960627ee7199437b5a56f7f%40%3Cannounce.apache.org%3E https://lists&# • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2019-19603 – sqlite: mishandling of certain SELECT statements with non-existent VIEW can lead to DoS
https://notcve.org/view.php?id=CVE-2019-19603
SQLite 3.30.1 mishandles certain SELECT statements with a nonexistent VIEW, leading to an application crash. SQLite 3.30.1 maneja mal ciertas declaraciones SELECT con una VISTA inexistente, lo que lleva a un bloqueo de la aplicación. • https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf https://github.com/sqlite/sqlite/commit/527cbd4a104cb93bf3994b3dd3619a6299a78b13 https://lists.apache.org/thread.html/rc713534b10f9daeee2e0990239fa407e2118e4aa9e88a7041177497c%40%3Cissues.guacamole.apache.org%3E https://security.netapp.com/advisory/ntap-20191223-0001 https://usn.ubuntu.com/4394-1 https://www.oracle.com/security-alerts/cpuapr2020.html https://www.sqlite.org https://access.redhat.com/security/cve/CVE-2019-19603 https://bugzilla.redhat.com& • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1340
https://notcve.org/view.php?id=CVE-2018-1340
Prior to 1.0.0, Apache Guacamole used a cookie for client-side storage of the user's session token. This cookie lacked the "secure" flag, which could allow an attacker eavesdropping on the network to intercept the user's session token if unencrypted HTTP requests are made to the same domain. En versiones anteriores a la 1.0.0, Apache Guacamole empleó una cookie para el almacenamiento del lado del cliente del token de sesión del usuario. Esta cookie carecía del flag "secure", que podría permitir que un atacante escuche en la red para interceptar la sesión del usuario si se realizan peticiones HTTP no cifradas al mismo dominio. • http://www.securityfocus.com/bid/106768 https://lists.apache.org/thread.html/af1632e13dd9acf7537546660cae9143cbb10fdd2f9bb0832a690979%40%3Cannounce.guacamole.apache.org%3E • CWE-311: Missing Encryption of Sensitive Data •