CVSS: 5.5EPSS: 0%CPEs: 14EXPL: 1CVE-2019-15145
https://notcve.org/view.php?id=CVE-2019-15145
DjVuLibre 3.5.27 allows attackers to cause a denial-of-service attack (application crash via an out-of-bounds read) by crafting a corrupted JB2 image file that is mishandled in JB2Dict::JB2Codec::get_direct_context in libdjvu/JB2Image.h because of a missing zero-bytes check in libdjvu/GBitmap.h. DjVuLibre versión 3.5.27, permite a atacantes causar un ataque de denegación de servicio (bloqueo de aplicación por medio de una lectura fuera de límites) mediante el diseño de un archivo de imagen JB2 corrupto que es manejado inapropiadamente en la función JB2Dict::JB2Codec::get_direct_context en el archivo libdjvu/JB2Image.h debido a una falta de comprobación de cero bytes en el archivo libdjvu/GBitmap.h. • http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00086.html http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00087.html https://lists.debian.org/debian-lts-announce/2019/08/msg00036.html https://lists.debian.org/debian-lts-announce/2021/05/msg00022.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FPMG3VY33XGMIKE6QDYIUVS6A7GNTHTK https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JO65AWU7LEWNF6DDCZPRFTR2ZPP5X • CWE-125: Out-of-bounds Read •
CVSS: 9.3EPSS: 6%CPEs: 25EXPL: 0CVE-2012-6535
https://notcve.org/view.php?id=CVE-2012-6535
DjVuLibre before 3.5.25.3, as used in Evince, Sumatra PDF Reader, VuDroid, and other products, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted DjVu (aka .djv) file. DjVuLibre anterior a la versión 3.5.25.3, tal y como se usa en Evince, Sumatra PDF Reader, VuDroid, y otros productos, permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un archivo DjVu manipulado (también conocido como .djv). • http://technet.microsoft.com/security/msvr/msvr13-004 http://www.debian.org/security/2014/dsa-2844 http://www.ubuntu.com/usn/USN-2056-1 • CWE-94: Improper Control of Generation of Code ('Code Injection') •