CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2021-23449 – Sandbox Bypass
https://notcve.org/view.php?id=CVE-2021-23449
18 Oct 2021 — This affects the package vm2 before 3.9.4 via a Prototype Pollution attack vector, which can lead to execution of arbitrary code on the host machine. Esto afecta al paquete vm2 antes de la versión 3.9.4 a través de un vector de ataque de Prototipo de Contaminación, que puede llevar a la ejecución de código arbitrario en la máquina anfitriona • https://github.com/patriksimek/vm2/commit/b4f6e2bd2c4a1ef52fc4483d8e35f28bc4481886 • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 7.8EPSS: 0%CPEs: 18EXPL: 1CVE-2021-40476 – Windows AppContainer Elevation Of Privilege Vulnerability
https://notcve.org/view.php?id=CVE-2021-40476
13 Oct 2021 — Windows AppContainer Elevation Of Privilege Vulnerability Una vulnerabilidad de Elevación de Privilegios en Windows AppContainer The WSAQuerySocketSecurity API returns full anonymous impersonation tokens for connected peers in an AppContainer leading to a sandbox escape. • https://packetstorm.news/files/id/164942 • CWE-522: Insufficiently Protected Credentials •
CVSS: 9.6EPSS: 15%CPEs: 5EXPL: 0CVE-2021-37973 – Google Chromium Portals Use-After-Free Vulnerability
https://notcve.org/view.php?id=CVE-2021-37973
08 Oct 2021 — Use after free in Portals in Google Chrome prior to 94.0.4606.61 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. Un uso de memoria previamente liberada en Portals en Google Chrome versiones anteriores a 94.0.4606.61, permitía que un atacante remoto que hubiera comprometido el proceso de renderización pudiera llevar a cabo un escape del sandbox por medio de una página HTML diseñada Multiple securit... • https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html • CWE-416: Use After Free •
CVSS: 9.6EPSS: 46%CPEs: 3EXPL: 0CVE-2021-30633 – Google Chromium Indexed DB API Use-After-Free Vulnerability
https://notcve.org/view.php?id=CVE-2021-30633
08 Oct 2021 — Un uso de memoria previamente liberada en la API de la base de datos Indexada en Google Chrome versiones anteriores a 93.0.4577.82, permitía a un atacante remoto que hubiera comprometido el proceso del renderizador llevar a cabo potencialmente un escape de sandbox por medio de una página HTML diseñada Google Chromium Indexed DB API contains a use-after-free vulnerability that allows a remote attacker, who has compromised the renderer process, to potentially perform a sandbox escape
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-41133 – Sandbox bypass via recent VFS-manipulating syscalls
https://notcve.org/view.php?id=CVE-2021-41133
08 Oct 2021 — Flatpak es un sistema para construir, distribuir y ejecutar aplicaciones de escritorio en sandbox en Linux. En versiones anteriores a 1.10.4 y 1.12.0, las aplicaciones Flatpak con acceso directo a los sockets AF_UNIX, como los usados por Wayland, Pipewire o pipewire-pulse, pueden engañar a los portales y otros servicios del sistema operativo anfitrión para que traten la aplicación Flatpak como si fuera un proceso ordinario del Sistema Operativo anfitrión sin sandbox. ... An attacker could use ... • http://www.openwall.com/lists/oss-security/2021/10/26/9 • CWE-20: Improper Input Validation •
CVSS: 7.6EPSS: 0%CPEs: 5EXPL: 0CVE-2021-28702 – Gentoo Linux Security Advisory 202208-23
https://notcve.org/view.php?id=CVE-2021-28702
06 Oct 2021 — Las subsiguientes DMA o interrupciones del dispositivo tendrán un comportamiento impredecible, que va desde fallos de IOMMU hasta corrupción de memoria Multiple vulnerabilities have been discovered in Xen, the worst of which could result in remote code execution (guest sandbox escape). • http://www.openwall.com/lists/oss-security/2021/10/07/2 • CWE-269: Improper Privilege Management •
CVSS: 9.9EPSS: 13%CPEs: 5EXPL: 0CVE-2021-3781 – Debian Security Advisory 4972-1
https://notcve.org/view.php?id=CVE-2021-3781
12 Sep 2021 — A trivial sandbox (enabled with the `-dSAFER` option) escape flaw was found in the ghostscript interpreter by injecting a specially crafted pipe command. ... Se ha encontrado un fallo de escape trivial del sandbox (habilitado con la opción "-dSAFER") en el intérprete de ghostscript al inyectar un comando de tubería especialmente diseñado. ... La mayor amenaza de esta vulnerabilidad es para la confidencialidad, la integridad y la disponibilidad del sistema It was discovered that G... • https://bugzilla.redhat.com/show_bug.cgi?id=2002271 • CWE-20: Improper Input Validation CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.9EPSS: 2%CPEs: 1EXPL: 1CVE-2021-32835 – Groovy Sandbox escape in Eclipse Keti
https://notcve.org/view.php?id=CVE-2021-32835
09 Sep 2021 — In Keti a sandbox escape vulnerability may lead to post-authentication Remote Code execution. ... En Keti, una vulnerabilidad de escape de sandbox puede conllevar a una ejecución de código remota después de la autenticación. • https://securitylab.github.com/advisories/GHSL-2021-063-eclipse-keti • CWE-693: Protection Mechanism Failure •
CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32834 – Arbitrary Groovy script evaluation in Eclipse Keti
https://notcve.org/view.php?id=CVE-2021-32834
09 Sep 2021 — In Keti a user able to create Policy Sets can run arbitrary code by sending malicious Groovy scripts which will escape the configured Groovy sandbox. ... En Keti un usuario capaz de crear Policy Sets puede ejecutar código arbitrario mediante el envío de scripts Groovy maliciosos que escapen al sandbox Groovy configurado. • https://securitylab.github.com/advisories/GHSL-2021-063-eclipse-keti • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-28701 – Gentoo Linux Security Advisory 202208-23
https://notcve.org/view.php?id=CVE-2021-28701
08 Sep 2021 — Desafortunadamente, cuando fue preparada la XSA-379, no se advirtió este problema similar Multiple vulnerabilities have been discovered in Xen, the worst of which could result in remote code execution (guest sandbox escape). • http://www.openwall.com/lists/oss-security/2021/09/08/2 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •