CVSS: 7.8EPSS: 0%CPEs: 8EXPL: 0CVE-2019-5780 – chromium-browser: Insufficient policy enforcement
https://notcve.org/view.php?id=CVE-2019-5780
Insufficient restrictions on what can be done with Apple Events in Google Chrome on macOS prior to 72.0.3626.81 allowed a local attacker to execute JavaScript via Apple Events. Las restricciones insuficientes relativas a las capacidades de los eventos de Apple en Google Chrome en macOS, en versiones anteriores a 72.0.3626.81, permitía a un atacante local ejecutar JavaScript mediante los eventos de Apple. • http://www.securityfocus.com/bid/106767 https://access.redhat.com/errata/RHSA-2019:0309 https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html https://crbug.com/891697 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JVFHYCJGMZQUKYSIE2BXE4NLEGFGUXU5 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQOP53LXXPRGD4N5OBKGQTSMFXT32LF6 https://www.debian.org/security/2019/dsa-4395 https://access.redhat.com&# • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2019-5781 – chromium-browser: Insufficient policy enforcement in Omnibox
https://notcve.org/view.php?id=CVE-2019-5781
Incorrect handling of a confusable character in Omnibox in Google Chrome prior to 72.0.3626.81 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted domain name. La gestión incorrecta de un carácter fácil de confundir en Omnibox en Google Chrome, en versiones anteriores a la 72.0.3626.81, permitía que un atacante remoto suplante el contenido del Omnibox (barra de URL) mediante un nombre de dominio manipulado. • http://www.securityfocus.com/bid/106767 https://access.redhat.com/errata/RHSA-2019:0309 https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html https://crbug.com/896725 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JVFHYCJGMZQUKYSIE2BXE4NLEGFGUXU5 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZQOP53LXXPRGD4N5OBKGQTSMFXT32LF6 https://www.debian.org/security/2019/dsa-4395 https://access.redhat.com&# •
CVSS: 9.6EPSS: 0%CPEs: 2EXPL: 0CVE-2017-15402
https://notcve.org/view.php?id=CVE-2017-15402
Using an ID that can be controlled by a compromised renderer which allows any frame to overwrite the page_state of any other frame in the same process in Navigation in Google Chrome on Chrome OS prior to 62.0.3202.74 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. La utilización de un identificador que puede ser controlado por un renderizador que permite a cualquier trama sobreescribir el parámetro page_state de cualquier otra trama en el mismo proceso en "Navigation" en Google Crome en Chrome OS, en versiones anteriores a la 62.0.3202.74, permitió a un atacante remoto, que había comprometido el proceso del renderizador, realizar un sandbox esape mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2017/10/stable-channel-update-for-chrome-os_27.html https://crbug.com/766262 • CWE-20: Improper Input Validation •
CVSS: 7.3EPSS: 0%CPEs: 2EXPL: 0CVE-2017-15403
https://notcve.org/view.php?id=CVE-2017-15403
Insufficient data validation in crosh could lead to a command injection under chronos privileges in Networking in Google Chrome on Chrome OS prior to 61.0.3163.113 allowed a local attacker to execute arbitrary code via a crafted HTML page. Validación insuficiente de datos en crosh podría conducir a una inyección de comandos con privilegios de chronos en Networking en Google Chrome, en Chrome OS en versiones anteriores a la 61.0.3163.113, lo que permitía que un atacante local ejecute código arbitrario mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2017/10/stable-channel-updates-for-chrome-os.html https://crbug.com/766271 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-17457
https://notcve.org/view.php?id=CVE-2018-17457
An object lifecycle issue in Blink could lead to a use after free in WebAudio in Google Chrome prior to 69.0.3497.81 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. Un problema de ciclo de vida de un objeto en Blink podría conducir a un uso de memoria previamente liberada en WebAudio en Google Chrome, en versiones anteriores a la 69.0.3497.81, permitía que un atacante remoto ejecutase código arbitrario dentro de un sandbox mediante una página HTML manipulada. • https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop.html https://crbug.com/848306 • CWE-416: Use After Free •