CVSS: 7.5EPSS: 5%CPEs: 7EXPL: 5CVE-2011-5325 – Ubuntu Security Notice USN-3935-1
https://notcve.org/view.php?id=CVE-2011-5325
07 Aug 2017 — Directory traversal vulnerability in the BusyBox implementation of tar before 1.22.0 v5 allows remote attackers to point to files outside the current working directory via a symlink. Una vulnerabilidad de salto de directorio en la implementación de tar en BusyBox en versiones anteriores a 1.22.0 v5 permite que atacantes remotos apunten a archivos situados fuera del actual directorio de trabajo a través de un symlink. Tyler Hicks discovered that BusyBox incorrectly handled symlinks inside tar archives. If a ... • https://packetstorm.news/files/id/153278 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.8EPSS: 4%CPEs: 1EXPL: 2CVE-2016-6301 – Cisco Device Hardcoded Credentials / GNU glibc / BusyBox
https://notcve.org/view.php?id=CVE-2016-6301
09 Dec 2016 — The recv_and_process_client_pkt function in networking/ntpd.c in busybox allows remote attackers to cause a denial of service (CPU and bandwidth consumption) via a forged NTP packet, which triggers a communication loop. La función recv_and_process_client_pkt en networking/ntpd.c en busybox permite a atacantes remotos provocar una denegación de servicio (consumo de CPU y ancho de banda) a través de un paquete NTP falsificado, lo que desencadena un bucle de comunicación. Many Cisco devices such as Cisco RV340... • https://packetstorm.news/files/id/154361 • CWE-399: Resource Management Errors •
CVSS: 7.5EPSS: 4%CPEs: 7EXPL: 9CVE-2016-2147 – Cisco Device Hardcoded Credentials / GNU glibc / BusyBox
https://notcve.org/view.php?id=CVE-2016-2147
05 Dec 2016 — Integer overflow in the DHCP client (udhcpc) in BusyBox before 1.25.0 allows remote attackers to cause a denial of service (crash) via a malformed RFC1035-encoded domain name, which triggers an out-of-bounds heap write. Desbordamiento de entero en el cliente DHCP (udhcpc) en BusyBox en versiones anteriores a 1.25.0 permite a atacantes remotos provocar una denegación de servicio (caída) a través de un nombre de dominio codificado RFC1035 mal formado, lo que desencadena una escritura de memoria dinámica fuera... • https://packetstorm.news/files/id/154361 • CWE-190: Integer Overflow or Wraparound •
CVSS: 9.8EPSS: 25%CPEs: 7EXPL: 9CVE-2016-2148 – Cisco Device Hardcoded Credentials / GNU glibc / BusyBox
https://notcve.org/view.php?id=CVE-2016-2148
05 Dec 2016 — Heap-based buffer overflow in the DHCP client (udhcpc) in BusyBox before 1.25.0 allows remote attackers to have unspecified impact via vectors involving OPTION_6RD parsing. Desbordamiento de búfer basado en memoria dinámica en el cliente DHCP (udhcpc) en BusyBox en versiones anteriores a 1.25.0 permite a atacantes remotos tener un impacto no especificado a través de vectores que implican el análisis de OPTION_6RD. Tyler Hicks discovered that BusyBox incorrectly handled symlinks inside tar archives. If a use... • https://packetstorm.news/files/id/154361 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9645 – Ubuntu Security Notice USN-3935-1
https://notcve.org/view.php?id=CVE-2014-9645
09 Feb 2015 — The add_probe function in modutils/modprobe.c in BusyBox before 1.23.0 allows local users to bypass intended restrictions on loading kernel modules via a / (slash) character in a module name, as demonstrated by an "ifconfig /usbserial up" command or a "mount -t /snd_pcm none /" command. La función add_probe en modutils/modprobe.c en BusyBox en versiones anteriores a 1.23.0 permite a usuarios locales eludir las restricciones previstas al cargar los módulos del kernel a través de un caracter / (barra oblicua)... • http://git.busybox.net/busybox/commit/?id=4e314faa0aecb66717418e9a47a4451aec59262b • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 101EXPL: 2CVE-2013-1813 – busybox: insecure directory permissions in /dev
https://notcve.org/view.php?id=CVE-2013-1813
21 Nov 2013 — util-linux/mdev.c in BusyBox before 1.21.0 uses 0777 permissions for parent directories when creating nested directories under /dev/, which allows local users to have unknown impact and attack vectors. util-linux/mdev.c en BusyBox anterior a la versión 1.21.0 utiliza permisos 0777 en directorios padre al crear directorios anidados bajo /dev/, lo que permite a usuarios locales tener un impacto y vectores de ataques desconocidos. BusyBox provides a single binary that includes versions of a large number of sys... • https://packetstorm.news/files/id/153278 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.8EPSS: 1%CPEs: 92EXPL: 1CVE-2011-2716 – busybox: udhcpc insufficient checking of DHCP options
https://notcve.org/view.php?id=CVE-2011-2716
03 Jul 2012 — The DHCP client (udhcpc) in BusyBox before 1.20.0 allows remote DHCP servers to execute arbitrary commands via shell metacharacters in the (1) HOST_NAME, (2) DOMAIN_NAME, (3) NIS_DOMAIN, and (4) TFTP_SERVER_NAME host name options. El cliente DHCP (udhcpc) en BusyBox anterior a v1.20.0 permite a servidores DHCP remotos ejecutar comandos arbitrarios mediante una shell de metacaracteres en el (1) HOST_NAME, (2) DOMAIN_NAME, (3) NIS_DOMAIN, y (4) las opciones de nombre de host TFTP_SERVER_NAME The industrial ma... • https://packetstorm.news/files/id/153278 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2006-5050
https://notcve.org/view.php?id=CVE-2006-5050
27 Sep 2006 — Directory traversal vulnerability in httpd in Rob Landley BusyBox allows remote attackers to read arbitrary files via URL-encoded "%2e%2e/" sequences in the URI. Vulnerabilidad de atravesamiento de directorios en httpd en Rob Landley BusyBox permite a un atacante remoto leer ficheros de su elección a través de la secuencia de codificación URL "%2e%2e/" en el URI. • http://securityreason.com/securityalert/1636 •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2006-1058
https://notcve.org/view.php?id=CVE-2006-1058
04 Apr 2006 — BusyBox 1.1.1 does not use a salt when generating passwords, which makes it easier for local users to guess passwords from a stolen password file using techniques such as rainbow tables. BusyBox 1.1.1 no utiliza una "sal" cuando genera contraseñas, lo que facilita a usuarios locales adivinar contraseñas a partir de un fichero de contraseñas robado usando técnicas como tablas "rainbow". • http://bugs.busybox.net/view.php?id=604 • CWE-916: Use of Password Hash With Insufficient Computational Effort •