CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2014-3908
https://notcve.org/view.php?id=CVE-2014-3908
The Amazon.com Kindle application before 4.5.0 for Android does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate. La aplicación Amazon.com Kindle anterior a 4.5.0 para Android no verifica los certificados X.509 de los servidores SSL, lo que permite a atacantes man-in-the-middle falsificar servidores y obtener información sensible a través de un certificado manipulado. • http://jvn.jp/en/jp/JVN17637243/index.html http://jvndb.jvn.jp/jvndb/JVNDB-2014-000102 • CWE-310: Cryptographic Issues •
CVSS: 6.9EPSS: 0%CPEs: 1EXPL: 0CVE-2010-5268
https://notcve.org/view.php?id=CVE-2010-5268
Untrusted search path vulnerability in Amazon Kindle for PC 1.3.0 30884 allows local users to gain privileges via a Trojan horse wintab32.dll file in the current working directory, as demonstrated by a directory that contains a .azw file. NOTE: some of these details are obtained from third party information. Vulnerabilidad de ruta de búsqueda no confiable en Amazon Kindle para PC v1.3.0 30884, permite a usuarios locales ganar privilegios a través de un archivo wintab32.dll caballo de troya que se encuentre en el mismo directorio de trabajo, como se demostró con un directorio que contiene un archivo .azw. NOTA: algunos de estos detalles han sido obtenidos de fuentes de terceros. • http://secunia.com/advisories/42476 http://www.coresecurity.com/content/amazon-kindle-for-pc-wintab32-dll-hijacking-exploit-10-5 •
CVSS: 9.3EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4248
https://notcve.org/view.php?id=CVE-2012-4248
The Amazon Kindle Touch before 5.1.2 does not properly restrict access to the libkindleplugin.so NPAPI plugin interface, which might allow remote attackers to have an unspecified impact via vectors involving the (1) dev.log, (2) lipc.set, (3) lipc.get, or (4) todo.scheduleItems method, a different vulnerability than CVE-2012-4249. La tableta Amazon Kindle Touch anterior a v5.1.2 no restringe adecuadamente el acceso a la interfaz del plugin libkindleplugin.so NPAPI lo que podría permitir a atacantes remotos obtener acceso a través de vectores que incluyen (1) dev.log, (2) lipc.set, (3) lipc.get, o (4) todo.scheduleItems method, una vulnerabilidad diferente que CVE-2012-4249. • http://www.kb.cert.org/vuls/id/122656 http://www.kb.cert.org/vuls/id/MORO-8WKGBN http://www.mobileread.com/forums/showthread.php?s=c7953cc553a4aaa36e880b25aa1a6bf6&t=175368 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2012-4249
https://notcve.org/view.php?id=CVE-2012-4249
The Amazon Lab126 com.lab126.system sendEvent implementation on the Kindle Touch before 5.1.2 allows context-dependent attackers to execute arbitrary commands via shell metacharacters in a string, as demonstrated by using lipc-set-prop to set an LIPC property, a different vulnerability than CVE-2012-4248. La implementación de Amazon Lab126 com.lab126.system sendEvent en la pantalla táctil de Kindle antes de v5.1.2 permite ejecutar comandos de su elección vía metacaracteres ocultos en una cadena a atacantes dependientes del contexto, tal y como se ha demostrado mediante el uso de CFIG-set-prop para establecer una propiedad CFIG. Se trata de un vulnerabilidad diferente a CVE-2012-4248. • http://www.kb.cert.org/vuls/id/122656 http://www.kb.cert.org/vuls/id/MORO-8WKGBN http://www.mobileread.com/forums/showthread.php?s=c7953cc553a4aaa36e880b25aa1a6bf6&t=175368 • CWE-94: Improper Control of Generation of Code ('Code Injection') •