CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 1CVE-2014-9714
https://notcve.org/view.php?id=CVE-2014-9714
Cross-site scripting (XSS) vulnerability in the WddxPacket::recursiveAddVar function in HHVM (aka the HipHop Virtual Machine) before 3.5.0 allows remote attackers to inject arbitrary web script or HTML via a crafted string to the wddx_serialize_value function. Vulnerabilidad de XSS en la función WddxPacket::recursiveAddVar en HHVM (también conocido como HipHop Virtual Machine) anterior a 3.5.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una cadena de texto manipulada hacia la función wddx_serialize_value. • http://www.openwall.com/lists/oss-security/2015/04/01/1 http://www.openwall.com/lists/oss-security/2015/04/07/3 http://www.securityfocus.com/bid/74061 https://github.com/facebook/hhvm/commit/324701c9fd31beb4f070f1b7ef78b115fbdfec34 https://github.com/facebook/hhvm/issues/4283 https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html https://phabricator.wikimedia.org/T85851 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-6228
https://notcve.org/view.php?id=CVE-2014-6228
Integer overflow in the string_chunk_split function in hphp/runtime/base/zend-string.cpp in Facebook HipHop Virtual Machine (HHVM) before 3.3.0 allows remote attackers to cause a denial of service (application crash) or possibly have unspecified other impact via crafted arguments to the chunk_split function. Desbordamiento de enteros en la función string_chunk_split en hphp/runtime/base/zend-string.cpp en Facebook HipHop Virtual Machine (HHVM) anterior a 3.3.0 permite a atacantes remotos causar una denegación de servicio (caída de la aplicación) o la posibilidad de tener otro impacto sin especificar a través de argumentos modificados en la función chunk_split • https://github.com/facebook/hhvm/commit/1f91e076a585118495b976a413c1df40f6fd3d41 • CWE-189: Numeric Errors •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2014-6229
https://notcve.org/view.php?id=CVE-2014-6229
The HashContext class in hphp/runtime/ext/ext_hash.cpp in Facebook HipHop Virtual Machine (HHVM) before 3.3.0 incorrectly expects that a certain key string uses '\0' for termination, which allows remote attackers to obtain sensitive information by leveraging read access beyond the end of the string, and makes it easier for remote attackers to defeat cryptographic protection mechanisms by leveraging truncation of a string containing an internal '\0' character. La clase HashContext en hphp/runtime/ext/ext_hash.cpp en Facebook HipHop Virtual Machine (HHVM) anterior a 3.3.0 espera incorrectamente que una clave use '\0' para finalizar, lo que permite a atacantes remotos obtener información sensible aprovechando el acceso de lectura más allá del final de la cadena, y esto hace más fácil para los atacantes remotos derrotar los mecanismos de protección criptográficos aprovechando el truncamiento de una cadena que contiene internamente el carácter '\0'. • http://hhvm.com/blog/6239/hhvm-3-3-0 https://github.com/facebook/hhvm/commit/7135ec229882370a00411aa50030eada6034cc1b • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2014-5386
https://notcve.org/view.php?id=CVE-2014-5386
The mcrypt_create_iv function in hphp/runtime/ext/mcrypt/ext_mcrypt.cpp in Facebook HipHop Virtual Machine (HHVM) before 3.3.0 does not seed the random number generator, which makes it easier for remote attackers to defeat cryptographic protection mechanisms by leveraging the use of a single initialization vector. La función mcrypt_create_iv en hphp/runtime/ext/mcrypt/ext_mcrypt.cpp en Facebook HipHop Virtual Machine (HHVM) anterior a 3.3.0 no inicializa el generador de números aleatorios, lo que hace que sea más fácil para los atacantes derrotar los mecanismos de protección criptográficos mediante el aprovechamiento del uso de único vector de inicialización • https://github.com/facebook/hhvm/commit/ab6fdeb84fb090b48606b6f7933028cfe7bf3a5e • CWE-310: Cryptographic Issues •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-2208
https://notcve.org/view.php?id=CVE-2014-2208
CRLF injection vulnerability in the LightProcess protocol implementation in hphp/util/light-process.cpp in Facebook HipHop Virtual Machine (HHVM) before 2.4.2 allows remote attackers to execute arbitrary commands by entering a \n (newline) character before the end of a string. Vulnerabilidad de inyección CRLF en la implementación del protocolo LightProcess en hphp/util/light-process.cpp en Facebook HipHop Virtual Machine (HHVM) anterior a 2.4.2 permite a atacantes remotos ejecutar comandos arbitrarios introduciendo el carácter \n (nueva linea) antes del final de una cadena • https://github.com/facebook/hhvm/commit/506a44194a9016406c752ad8e010c01aeffc18cc • CWE-94: Improper Control of Generation of Code ('Code Injection') •