CVE-2020-11879
https://notcve.org/view.php?id=CVE-2020-11879
An issue was discovered in GNOME Evolution before 3.35.91. By using the proprietary (non-RFC6068) "mailto?attach=..." parameter, a website (or other source of mailto links) can make Evolution attach local files or directories to a composed email message without showing a warning to the user, as demonstrated by an attach=. value. Se descubrió un problema en GNOME Evolution anterior a la versión 3.35.91. Al utilizar el parámetro "mailto Attach = ..." patentado (no RFC6068), un sitio web (u otra fuente de enlaces mailto) puede hacer que Evolution adjunte archivos o directorios locales a un mensaje de correo electrónico compuesto sin mostrar una advertencia al usuario , como lo demuestra un adjunto =. valor.. • https://gitlab.gnome.org/GNOME/evolution/-/blob/master/NEWS https://gitlab.gnome.org/GNOME/evolution/issues/784 https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2020/08/15/mailto-paper.pdf •
CVE-2011-3355
https://notcve.org/view.php?id=CVE-2011-3355
evolution-data-server3 3.0.3 through 3.2.1 used insecure (non-SSL) connection when attempting to store sent email messages into the Sent folder, when the Sent folder was located on the remote server. An attacker could use this flaw to obtain login credentials of the victim. evolution-data-server versión 3 3.0.3 hasta 3.2.1, utilizó una conexión no segura (no SSL) cuando se intenta almacenar mensajes de correo electrónico enviados a la carpeta Sent, cuando la carpeta Sent fue encontrada en el servidor remoto. Un atacante podría usar este fallo para obtener las credenciales de inicio de sesión de la víctima. • https://access.redhat.com/security/cve/cve-2011-3355 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=641052 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3355 https://security-tracker.debian.org/tracker/CVE-2011-3355 https://www.openwall.com/lists/oss-security/2011/09/09/1 • CWE-311: Missing Encryption of Sensitive Data •
CVE-2019-3890 – evolution-ews: all certificate errors ignored if error is ignored during initial account setup in gnome-online-accounts
https://notcve.org/view.php?id=CVE-2019-3890
It was discovered evolution-ews before 3.31.3 does not check the validity of SSL certificates. An attacker could abuse this flaw to get confidential information by tricking the user into connecting to a fake server without the user noticing the difference. Se detectó que evolution-ews anterior a versión 3.31.3, no comprueba la validez de los certificados SSL. Un atacante podría abusar de este fallo para conseguir información confidencial mediante el engaño del usuario para que se conecte a un servidor falso sin que el usuario note la diferencia. It was discovered evolution-ews does not check the validity of SSL certificates. • https://access.redhat.com/errata/RHSA-2019:3699 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3890 https://gitlab.gnome.org/GNOME/evolution-ews/issues/27 https://access.redhat.com/security/cve/CVE-2019-3890 https://bugzilla.redhat.com/show_bug.cgi?id=1678313 • CWE-295: Improper Certificate Validation CWE-296: Improper Following of a Certificate's Chain of Trust •
CVE-2018-15587 – evolution: specially crafted email leading to OpenPGP signatures being spoofed for arbitrary messages
https://notcve.org/view.php?id=CVE-2018-15587
GNOME Evolution through 3.28.2 is prone to OpenPGP signatures being spoofed for arbitrary messages using a specially crafted email that contains a valid signature from the entity to be impersonated as an attachment. GNOME Evolution, hasta la versión 3.28.2, es propenso a que las firmas OpenPGP sean suplantadas para mensajes arbitrarios empleando un correo electrónico especialmente manipulado que contiene una firma válida de la entidad que será suplantada como adjunto. • http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00047.html http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00061.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00024.html http://packetstormsecurity.com/files/152703/Johnny-You-Are-Fired.html http://seclists.org/fulldisclosure/2019/Apr/38 http://www.openwall.com/lists/oss-security/2019/04/30/4 https://bugzilla.gnome.org/show_bug.cgi?id=796424 https://github.com/RUB-NDS/Johnny-You-A • CWE-347: Improper Verification of Cryptographic Signature •
CVE-2016-10727
https://notcve.org/view.php?id=CVE-2016-10727
camel/providers/imapx/camel-imapx-server.c in the IMAPx component in GNOME evolution-data-server before 3.21.2 proceeds with cleartext data containing a password if the client wishes to use STARTTLS but the server will not use STARTTLS, which makes it easier for remote attackers to obtain sensitive information by sniffing the network. The server code was intended to report an error and not proceed, but the code was written incorrectly. camel/providers/imapx/camel-imapx-server.c en el componente IMAPx en GNOME evolution-data-server en versiones anteriores a la 3.21.2 continúa con datos en texto claro que contienen una contraseña si el cliente desea emplear STARTTLS, pero el servidor no lo utiliza. Esto facilita que los atacantes remotos obtengan información sensible rastreando la red. El código del servidor debería reportar un error y no continuar, pero el código se escribió erróneamente. • https://bugzilla.redhat.com/show_bug.cgi?id=1334842 https://github.com/GNOME/evolution-data-server/releases/tag/EVOLUTION_DATA_SERVER_3_21_2 https://gitlab.gnome.org/GNOME/evolution-data-server/blob/master/NEWS#L1022 https://gitlab.gnome.org/GNOME/evolution-data-server/commit/f26a6f67 https://usn.ubuntu.com/3724-1 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •