CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-27772
https://notcve.org/view.php?id=CVE-2022-27772
spring-boot versions prior to version v2.2.11.RELEASE was vulnerable to temporary directory hijacking. This vulnerability impacted the org.springframework.boot.web.server.AbstractConfigurableWebServerFactory.createTempDir method. NOTE: This vulnerability only affects products and/or versions that are no longer supported by the maintainer spring-boot versiones anteriores a v2.2.11.RELEASE eran vulnerables a un secuestro de directorios temporales. Esta vulnerabilidad afectaba al método org.springframework.boot.web.server.AbstractConfigurableWebServerFactory.createTempDir. NOTA: Esta vulnerabilidad sólo afecta a productos y/o versiones que ya no son soportadas por el mantenedor • https://github.com/JLLeitschuh/security-research/security/advisories/GHSA-cm59-pr5q-cw85 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 6.5EPSS: 0%CPEs: 63EXPL: 1CVE-2022-22948 – VMware vCenter Server Incorrect Default File Permissions Vulnerability
https://notcve.org/view.php?id=CVE-2022-22948
The vCenter Server contains an information disclosure vulnerability due to improper permission of files. A malicious actor with non-administrative access to the vCenter Server may exploit this issue to gain access to sensitive information. vCenter Server contiene una vulnerabilidad de divulgación de información debido a un permiso inapropiado de los archivos. Un actor malicioso con acceso no administrativo al vCenter Server puede explotar este problema para conseguir acceso a información confidencial VMware vCenter Server contains an incorrect default file permissions vulnerability that allows a remote, privileged attacker to gain access to sensitive information. • https://github.com/PenteraIO/CVE-2022-22948 https://www.vmware.com/security/advisories/VMSA-2022-0009.html • CWE-276: Incorrect Default Permissions •
CVSS: 9.1EPSS: 0%CPEs: 5EXPL: 0CVE-2022-22952
https://notcve.org/view.php?id=CVE-2022-22952
VMware Carbon Black App Control (8.5.x prior to 8.5.14, 8.6.x prior to 8.6.6, 8.7.x prior to 8.7.4 and 8.8.x prior to 8.8.2) contains a file upload vulnerability. A malicious actor with administrative access to the VMware App Control administration interface may be able to execute code on the Windows instance where AppC Server is installed by uploading a specially crafted file. VMware Carbon Black App Control (versiones 8.5.x anteriores a 8.5.14, versiones 8.6.x anteriores a 8.6.6, versiones 8.7.x anteriores a 8.7.4 y versiones 8.8.x anteriores a 8.8.2) contiene una vulnerabilidad de carga de archivos. Un actor malicioso con acceso administrativo a la interfaz de administración de VMware App Control puede ser capaz de ejecutar código en la instancia de Windows donde está instalado AppC Server al cargar un archivo especialmente diseñado • https://www.vmware.com/security/advisories/VMSA-2022-0008.html • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.1EPSS: 0%CPEs: 5EXPL: 0CVE-2022-22951
https://notcve.org/view.php?id=CVE-2022-22951
VMware Carbon Black App Control (8.5.x prior to 8.5.14, 8.6.x prior to 8.6.6, 8.7.x prior to 8.7.4 and 8.8.x prior to 8.8.2) contains an OS command injection vulnerability. An authenticated, high privileged malicious actor with network access to the VMware App Control administration interface may be able to execute commands on the server due to improper input validation leading to remote code execution. VMware Carbon Black App Control (versiones 8.5.x anteriores a 8.5.14, versiones 8.6.x anteriores a 8.6.6, versiones 8.7.x anteriores a 8.7.4 y versiones 8.8.x anteriores a 8.8.2) contiene una vulnerabilidad de inyección de comandos del Sistema Operativo. Un actor malicioso autenticado y con altos privilegios con acceso a la red a la interfaz de administración de VMware App Control puede ser capaz de ejecutar comandos en el servidor debido a una incorrecta comprobación de entrada conllevando a una ejecución de código remota • https://www.vmware.com/security/advisories/VMSA-2022-0008.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.5EPSS: 0%CPEs: 7EXPL: 0CVE-2022-22946
https://notcve.org/view.php?id=CVE-2022-22946
In spring cloud gateway versions prior to 3.1.1+ , applications that are configured to enable HTTP2 and no key store or trusted certificates are set will be configured to use an insecure TrustManager. This makes the gateway able to connect to remote services with invalid or custom certificates. En spring cloud gateway versiones anteriores a 3.1.1+ , las aplicaciones que son configuradas para habilitar HTTP2 y no es establecido un almacén de claves o certificados confiables son configurados para usar un TrustManager no seguro. Esto hace que la pasarela pueda conectarse a servicios remotos con certificados no válidos o personalizados • https://tanzu.vmware.com/security/cve-2022-22946 https://www.oracle.com/security-alerts/cpujul2022.html • CWE-295: Improper Certificate Validation •