CVSS: 8.2EPSS: 0%CPEs: 4EXPL: 0CVE-2021-21381 – Sandbox escape via special tokens in .desktop file
https://notcve.org/view.php?id=CVE-2021-21381
11 Mar 2021 — Flatpak es un sistema para construir, distribuir y ejecutar aplicaciones de escritorio en sandbox en Linux. ... Como solución, evite instalar aplicaciones Flatpak de fuentes no fiables, o compruebe el contenido de los archivos exportados ".desktop" en "exports/share/applications/*.desktop" (normalmente "~/.local/share/flatpak/exports/share/applications/*.desktop" y "/var/lib/flatpak/exports/share/applications/*.desktop") para asegurarse de que los nombres literales de los archivos no siguen "@@" o "@... • https://github.com/flatpak/flatpak/commit/8279c5818425b6812523e3805bbe242fb6a5d961 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-284: Improper Access Control •
CVSS: 9.0EPSS: 10%CPEs: 28EXPL: 0CVE-2020-13936 – Velocity Sandbox Bypass
https://notcve.org/view.php?id=CVE-2020-13936
10 Mar 2021 — An attacker that is able to modify Velocity templates may execute arbitrary Java code or run arbitrary system commands with the same privileges as the account running the Servlet container. This applies to applications that allow untrusted users to upload/modify velocity templates running Apache Velocity Engine versions up to 2.2. Un atacante que es capaz de modificar las plantillas de Velocity puede ejecutar código Java arbitrario o ejecutar comandos de sistema arbitrarios con los mismos privilegios que la... • http://www.openwall.com/lists/oss-security/2021/03/10/1 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-20263 – Gentoo Linux Security Advisory 202208-27
https://notcve.org/view.php?id=CVE-2021-20263
09 Mar 2021 —  En raras ocasiones, un usuario malicioso podría usar este fallo para elevar sus privilegios dentro del invitado Multiple vulnerabilities have been discovered in QEMU, the worst of which could result in remote code execution (guest sandbox escape). • https://bugzilla.redhat.com/show_bug.cgi?id=1933668 • CWE-281: Improper Preservation of Permissions •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23957
https://notcve.org/view.php?id=CVE-2021-23957
26 Feb 2021 — Navigations through the Android-specific `intent` URL scheme could have been misused to escape iframe sandbox. ... Las navegaciones por medio del esquema de URL "intent" específico de Android podrían haber sido usado inapropiadamente para escapar del sandbox de iframe. • https://bugzilla.mozilla.org/show_bug.cgi?id=1584582 •
CVSS: 9.6EPSS: 1%CPEs: 4EXPL: 1CVE-2021-21155 – Debian Security Advisory 4858-1
https://notcve.org/view.php?id=CVE-2021-21155
22 Feb 2021 — Heap buffer overflow in Tab Strip in Google Chrome on Windows prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. Un desbordamiento del búfer de la pila en Tab Strip en Google Chrome en Windows versiones anteriores a 88.0.4324.182, permitió a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una ... • https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html • CWE-787: Out-of-bounds Write •
CVSS: 9.6EPSS: 1%CPEs: 3EXPL: 1CVE-2021-21154 – Debian Security Advisory 4858-1
https://notcve.org/view.php?id=CVE-2021-21154
22 Feb 2021 — Heap buffer overflow in Tab Strip in Google Chrome prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. Un desbordamiento del búfer de la pila en Tab Strip en Google Chrome versiones anteriores a 88.0.4324.182, permitía a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada M... • https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html • CWE-787: Out-of-bounds Write •
CVSS: 9.6EPSS: 0%CPEs: 4EXPL: 1CVE-2021-21150 – Debian Security Advisory 4858-1
https://notcve.org/view.php?id=CVE-2021-21150
22 Feb 2021 — Use after free in Downloads in Google Chrome on Windows prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. Un uso de la memoria previamente liberada en Downloads en Google Chrome en Windows versiones anteriores a 88.0.4324.182, permitió a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una pág... • https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html • CWE-416: Use After Free •
CVSS: 9.6EPSS: 0%CPEs: 3EXPL: 1CVE-2021-21151 – Debian Security Advisory 4858-1
https://notcve.org/view.php?id=CVE-2021-21151
22 Feb 2021 — Use after free in Payments in Google Chrome prior to 88.0.4324.182 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. Un uso de la memoria previamente liberada en Payments en Google Chrome versiones anteriores a 88.0.4324.182, permitía a un atacante remoto llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada Multiple vulnerabilities have been found in Chromium and Google Chrome, the worst of which could r... • https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_16.html • CWE-416: Use After Free •
CVSS: 7.5EPSS: 56%CPEs: 4EXPL: 0CVE-2021-26119 – Debian Security Advisory 5151-1
https://notcve.org/view.php?id=CVE-2021-26119
22 Feb 2021 — Smarty before 3.1.39 allows a Sandbox Escape because $smarty.template_object can be accessed in sandbox mode. Smarty versiones anteriores a 3.1.39, permite un Escape del Sandbox porque un $smarty.template_object puede ser accedido en el modo sandbox Several security vulnerabilities have been discovered in smarty3, the compiling PHP template engine. • https://github.com/smarty-php/smarty/blob/master/CHANGELOG.md •
CVSS: 9.6EPSS: 0%CPEs: 3EXPL: 0CVE-2021-21146 – Debian Security Advisory 4846-1
https://notcve.org/view.php?id=CVE-2021-21146
09 Feb 2021 — Use after free in Navigation in Google Chrome prior to 88.0.4324.146 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. Un uso de la memoria previamente liberada en Navigation en Google Chrome versiones anteriores a 88.0.4324.146, permitía a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada Mu... • https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop.html • CWE-416: Use After Free •