CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 2CVE-2020-5504
https://notcve.org/view.php?id=CVE-2020-5504
In phpMyAdmin 4 before 4.9.4 and 5 before 5.0.1, SQL injection exists in the user accounts page. A malicious user could inject custom SQL in place of their own username when creating queries to this page. An attacker must have a valid MySQL account to access the server. En phpMyAdmin versiones 4 anteriores a 4.9.4 y versiones 5 anteriores a 5.0.1, una inyección SQL se presenta en la página de cuentas de usuario. Un usuario malicioso podría inyectar SQL personalizado en lugar de su propio nombre de usuario cuando crea consultas en esta página. • https://github.com/xMohamed0/CVE-2020-5504-phpMyAdmin http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00024.html https://cybersecurityworks.com/zerodays/cve-2020-5504-phpmyadmin.html https://lists.debian.org/debian-lts-announce/2020/01/msg00011.html https://www.phpmyadmin.net/security/PMASA-2020-1 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.1EPSS: 0%CPEs: 5EXPL: 0CVE-2019-3688 – squid: /usr/sbin/pinger packaged with wrong permission
https://notcve.org/view.php?id=CVE-2019-3688
The /usr/sbin/pinger binary packaged with squid in SUSE Linux Enterprise Server 15 before and including version 4.8-5.8.1 and in SUSE Linux Enterprise Server 12 before and including 3.5.21-26.17.1 had squid:root, 0750 permissions. This allowed an attacker that compromissed the squid user to gain persistence by changing the binary El binario /usr/sbin/pinger empaquetado con squid en SUSE Linux Enterprise Server 15 anterior e incluyendo la versión 4.8-5.8.1 y en SUSE Linux Enterprise Server 12 anterior e incluyendo la versión 3.5.21-26.17.1, presenta squid:root, permisos 0750 . Esto permitió a un atacante que comprometía al usuario squid conseguir persistencia al cambiar el binario. • http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.html http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00024.html https://bugzilla.suse.com/show_bug.cgi?id=1093414 • CWE-276: Incorrect Default Permissions •
CVSS: 7.8EPSS: 0%CPEs: 7EXPL: 1CVE-2019-3475 – Local privilege escalation in Filr famtd
https://notcve.org/view.php?id=CVE-2019-3475
A local privilege escalation vulnerability in the famtd component of Micro Focus Filr 3.0 allows a local attacker authenticated as a low privilege user to escalate to root. This vulnerability affects all versions of Filr 3.x prior to Security Update 6. Una vulnerabilidad de escalado de privilegios local en el componente famtd de Micro Focus Filr 3.0 permite que un atacante local autenticado como usuario con bajos privilegios escale a root. Esta vulnerabilidad afecta a todas las versiones 3.x de Filr anteriores al Security Update 6. Micro Focus Filr version 3.4.0.217 suffers from privilege escalation and path traversal vulnerabilities. • https://www.exploit-db.com/exploits/46450 https://download.novell.com/Download?buildid=nZUCSDkvpxk~ https://support.microfocus.com/kb/doc.php?id=7023727 • CWE-264: Permissions, Privileges, and Access Controls CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 1CVE-2019-3474 – Path traversal vulnerability in Filr web application
https://notcve.org/view.php?id=CVE-2019-3474
A path traversal vulnerability in the web application component of Micro Focus Filr 3.x allows a remote attacker authenticated as a low privilege user to download arbitrary files from the Filr server. This vulnerability affects all versions of Filr 3.x prior to Security Update 6. Una vulnerabilidad de salto de directorio en el componente de aplicación web de Micro Focus Filr, en versiones 3.x, permite que un atacante remoto autenticado como usuario con pocos privilegios descargue archivos arbitrarios del servidor Filr. Esta vulnerabilidad afecta a todas las versiones 3.x de Filr anteriores al Security Update 6. Micro Focus Filr version 3.4.0.217 suffers from privilege escalation and path traversal vulnerabilities. • https://www.exploit-db.com/exploits/46450 https://download.novell.com/Download?buildid=nZUCSDkvpxk~ https://support.microfocus.com/kb/doc.php?id=7023726 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 2CVE-2018-19655
https://notcve.org/view.php?id=CVE-2018-19655
A stack-based buffer overflow in the find_green() function of dcraw through 9.28, as used in ufraw-batch and many other products, may allow a remote attacker to cause a control-flow hijack, denial-of-service, or unspecified other impact via a maliciously crafted raw photo file. Un desbordamiento de búfer basado en pila en la función find_green() de dcraw hasta la versión 9.28, tal y como se emplea en ufraw-batch y muchos otros productos, podría permitir que un atacante remoto provoque el secuestro de un flujo de control, denegación de servicio (DoS) u otro tipo de impacto sin especificar mediante un archivo de fotografía RAW maliciosamente manipulado. • https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=890086 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=906529 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Q3JX4A5F4DWP6NOEULXQXZ5AIH4GA62U https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/RD65NMWZ5OQNUIF7CLGKLDG4LVPPMJY7 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XK4SHVVIZT6FHJVHOQSAFJMQWDLMWKDE • CWE-787: Out-of-bounds Write •