CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 2CVE-2021-44686
https://notcve.org/view.php?id=CVE-2021-44686
06 Dec 2021 — calibre before 5.32.0 contains a regular expression that is vulnerable to ReDoS (Regular Expression Denial of Service) in html_preprocess_rules in ebooks/conversion/preprocess.py. calibre versiones anteriores a 5.32.0, contiene una expresión regular que es vulnerable a ReDoS (denegación de servicio por expresión regular) en html_preprocess_rules en el archivo ebooks/conversion/preprocess.py • https://bugs.launchpad.net/calibre/+bug/1951979 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25965 – Calibre-web - Admin Account Takeover via Cross-Site Request Forgery (CSRF)
https://notcve.org/view.php?id=CVE-2021-25965
16 Nov 2021 — In Calibre-web, versions 0.6.0 to 0.6.13 are vulnerable to Cross-Site Request Forgery (CSRF). By luring an authenticated user to click on a link, an attacker can create a new user role with admin privileges and attacker-controlled credentials, allowing them to take over the application. En Calibre-web, versiones 0.6.0 a 0.6.13, son vulnerables a un ataque de tipo Cross-Site Request Forgery (CSRF). Al atraer a un usuario autenticado para que haga clic en un enlace, un atacante puede crear un nuevo rol de usu... • https://github.com/janeczku/calibre-web/commit/50919d47212066c75f03ee7a5332ecf2d584b98e • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 2CVE-2011-4126
https://notcve.org/view.php?id=CVE-2011-4126
27 Oct 2021 — Race condition issues were found in Calibre at devices/linux_mount_helper.c allowing unprivileged users the ability to mount any device to anywhere. Se encontraron problemas de condiciones de carrera en Calibre en el archivo devices/linux_mount_helper.c, permitiendo a usuarios no privilegiados la posibilidad de montar cualquier dispositivo en cualquier lugar • https://bugs.launchpad.net/calibre/+bug/885027 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 2CVE-2011-4125
https://notcve.org/view.php?id=CVE-2011-4125
27 Oct 2021 — A untrusted search path issue was found in Calibre at devices/linux_mount_helper.c leading to the ability of unprivileged users to execute any program as root. Se encontró un problema de ruta de búsqueda no confiable en Calibre en el archivo devices/linux_mount_helper.c, conllevando a la posibilidad de que usuarios no privilegiados ejecutaran cualquier programa como root • https://bugs.launchpad.net/calibre/+bug/885027 • CWE-426: Untrusted Search Path •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 2CVE-2011-4124
https://notcve.org/view.php?id=CVE-2011-4124
27 Oct 2021 — Input validation issues were found in Calibre at devices/linux_mount_helper.c which can lead to argument injection and elevation of privileges. Se han encontrado problemas de comprobación de entrada en Calibre en el archivo devices/linux_mount_helper.c que pueden conllevar a una inyección de argumentos y elevación de privilegios • https://bugs.launchpad.net/calibre/+bug/885027 • CWE-20: Improper Input Validation •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25964 – Stored Cross-Site Scripting (XSS) in Calibre-web via Description Field in Metadata
https://notcve.org/view.php?id=CVE-2021-25964
04 Oct 2021 — In “Calibre-web” application, v0.6.0 to v0.6.12, are vulnerable to Stored XSS in “Metadata”. An attacker that has access to edit the metadata information, can inject JavaScript payload in the description field. When a victim tries to open the file, XSS will be triggered. En la aplicación "Calibre-web", versiones v0.6.0 a v0.6.12, son vulnerables a un ataque de tipo XSS almacenado en "Metadata". Un atacante que tenga acceso a editar la información de los metadatos, puede inyectar una carga útil de JavaScript... • https://github.com/janeczku/calibre-web/commit/32e27712f0f71fdec646add20cd78b4ce75acfce • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12627
https://notcve.org/view.php?id=CVE-2020-12627
04 May 2020 — Calibre-Web 0.6.6 allows authentication bypass because of the 'A0Zr98j/3yX R~XHH!jmN]LWX/,?RT' hardcoded secret key. Calibre-Web versión 0.6.6, permite una omisión de autenticación debido a la clave secreta embebida "A0Zr98j/3yX R~XHH!jmN]LWX/,? • https://github.com/janeczku/calibre-web/pull/1337 • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.8EPSS: 1%CPEs: 1EXPL: 1CVE-2018-7889
https://notcve.org/view.php?id=CVE-2018-7889
08 Mar 2018 — gui2/viewer/bookmarkmanager.py in Calibre 3.18 calls cPickle.load on imported bookmark data, which allows remote attackers to execute arbitrary code via a crafted .pickle file, as demonstrated by Python code that contains an os.system call. gui2/viewer/bookmarkmanager.py en Calibre 3.18 llama a cPickle.load en los datos importados de marcapáginas, lo que permite que atacantes remotos ejecuten código arbitrario mediante un archivo .pickle manipulado. Esto se demuestra por el código Python que contiene una ll... • https://bugs.launchpad.net/calibre/+bug/1753870 • CWE-502: Deserialization of Untrusted Data •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2016-10187
https://notcve.org/view.php?id=CVE-2016-10187
16 Mar 2017 — The E-book viewer in calibre before 2.75 allows remote attackers to read arbitrary files via a crafted epub file with JavaScript. El visor de E-book en calibre en versiones anteriores a 2.75 permite a atacantes remotos leer archivos arbitrarios a través de un archivo epub manipulado con JavaScript. • http://www.openwall.com/lists/oss-security/2017/01/29/8 • CWE-264: Permissions, Privileges, and Access Controls •