CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6331
https://notcve.org/view.php?id=CVE-2018-6331
Buck parser-cache command loads/saves state using Java serialized object. If the state information is maliciously crafted, deserializing it could lead to code execution. This issue affects Buck versions prior to v2018.06.25.01. El comando de Buck parser-cache carga/guarda el estado mediante el uso de un objecto de Java serializado. Si la información de estado se manipula maliciosamente, su deserialización podría provocar la ejecución de código. • https://github.com/facebook/buck/commit/8c5500981812564877bd122c0f8fab48d3528ddf • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-6333
https://notcve.org/view.php?id=CVE-2018-6333
The hhvm-attach deep link handler in Nuclide did not properly sanitize the provided hostname parameter when rendering. As a result, a malicious URL could be used to render HTML and other content inside of the editor's context, which could potentially be chained to lead to code execution. This issue affected Nuclide prior to v0.290.0. El gestor hhvm-attach deep link en Nuclide no sanea debidamente el parámetro hostname proporcionado durante la renderización. En consecuencia, una URL maliciosa podría utilizarse para renderizar HTML y otro tipo de contenido dentro del contexto del editor, lo cual podría ser encadenado para provocar la ejecución de código. • https://github.com/ossf-cve-benchmark/CVE-2018-6333 https://github.com/facebook/nuclide/commit/65f6bbd683404be1bb569b8d1be84b5d4c74a324 • CWE-20: Improper Input Validation CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 0%CPEs: 6EXPL: 1CVE-2018-6342
https://notcve.org/view.php?id=CVE-2018-6342
react-dev-utils on Windows allows developers to run a local webserver for accepting various commands, including a command to launch an editor. The input to that command was not properly sanitized, allowing an attacker who can make a network request to the server (either via CSRF or by direct request) to execute arbitrary commands on the targeted system. This issue affects multiple branches: 1.x.x prior to 1.0.4, 2.x.x prior to 2.0.2, 3.x.x prior to 3.1.2, 4.x.x prior to 4.2.2, and 5.x.x prior to 5.0.2. react-dev-utils en Windows permite a desarrolladores ejecutar un servidor web local que acepta varios comandos, incluyendo un comando para iniciar un editor. Las entradas a dicho comando no fueron sanadas debidamente, permitiendo a un atacante que puede enviar una petición de red al servidor (o mediante CSRF o bajo petición directa) para ejecutar comandos arbitrarios en el sistema objetivo. Este problema afecta a múltiples gamas: Las versiones 1.x.x anteriores a la 1.0.4, las 2.x.x anteriores a la 2.0.2, las 3.x.x anteriores a la 3.1.2, las 4.x.x anteriores a la 4.2.2 y las 5.x.x anteriores a la 5.0.2. • https://github.com/ossf-cve-benchmark/CVE-2018-6342 https://github.com/facebook/create-react-app/pull/4866 https://github.com/facebook/create-react-app/releases/tag/v1.1.5 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-6337
https://notcve.org/view.php?id=CVE-2018-6337
folly::secureRandom will re-use a buffer between parent and child processes when fork() is called. That will result in multiple forked children producing repeat (or similar) results. This affects HHVM 3.26 prior to 3.26.3 and the folly library between v2017.12.11.00 and v2018.08.09.00. folly::secureRandom reutilizará un búfer entre los procesos padre e hijo cuando una bifurcación() es llamada. Esto resultará en múltiples hijos bifurcados, produciendo resultados repetidos o similares. Esto afecta a las versiones de HHVM 3.26 anteriores a la 3.26.3 y a la librería folly entre las versiones v2017.12.11.00 y v2018.08.09.00. • https://github.com/facebook/folly/commit/8e927ee48b114c8a2f90d0cbd5ac753795a6761f https://github.com/facebook/hhvm/commit/e2d10a1e32d01f71aaadd81169bcb9ae86c5d6b8 https://hhvm.com/blog/2018/05/24/hhvm-3.26.3.html • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-6340
https://notcve.org/view.php?id=CVE-2018-6340
The Memcache::getextendedstats function can be used to trigger an out-of-bounds read. Exploiting this issue requires control over memcached server hostnames and/or ports. This affects all supported versions of HHVM (3.30 and 3.27.4 and below). La función Memcache::getextendedstats puede utilizarse para provocar una lectura fuera de límites. La explotación de este problema requiere control sobre nombres y/o puertos del servidor "memcatched". • https://github.com/facebook/hhvm/commit/4bff3bfbe90d10451e4638c2118d1ad1117bb3e3 https://hhvm.com/blog/2018/12/18/hhvm-3.30.1.html • CWE-125: Out-of-bounds Read •