CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 1CVE-2021-45088
https://notcve.org/view.php?id=CVE-2021-45088
XSS can occur in GNOME Web (aka Epiphany) before 40.4 and 41.x before 41.1 via an error page. Un ataque de tipo XSS puede ocurrir en GNOME Web (también se conoce como Epiphany) versiones anteriores a 40.4 y 41.x versiones anteriores a 41.1 por medio de una página de error • https://gitlab.gnome.org/GNOME/epiphany/-/issues/1612 https://gitlab.gnome.org/GNOME/epiphany/-/merge_requests/1045 https://lists.debian.org/debian-lts-announce/2022/08/msg00006.html https://www.debian.org/security/2022/dsa-5042 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 1CVE-2021-45085
https://notcve.org/view.php?id=CVE-2021-45085
XSS can occur in GNOME Web (aka Epiphany) before 40.4 and 41.x before 41.1 via an about: page, as demonstrated by ephy-about:overview when a user visits an XSS payload page often enough to place that page on the Most Visited list. Un ataque de tipo XSS puede ocurrir en GNOME Web (también se conoce como Epiphany) versiones anteriores a 40.4 y 41.x versiones anteriores a 41.1, por medio de una página about:, como es demostrado en ephy-about:overview cuando un usuario visita una página de carga útil de tipo XSS con la suficiente frecuencia como para colocar esa página en la lista de las más visitadas • https://gitlab.gnome.org/GNOME/epiphany/-/issues/1612 https://gitlab.gnome.org/GNOME/epiphany/-/merge_requests/1045 https://lists.debian.org/debian-lts-announce/2022/08/msg00006.html https://www.debian.org/security/2022/dsa-5042 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 1CVE-2021-3800 – glib2: Possible privilege escalation thourgh pkexec and aliases
https://notcve.org/view.php?id=CVE-2021-3800
A flaw was found in glib before version 2.63.6. Due to random charset alias, pkexec can leak content from files owned by privileged users to unprivileged ones under the right condition. Se ha encontrado un fallo en glib versiones anteriores a 2.63.6. Debido a los alias de conjuntos de caracteres aleatorios, pkexec puede filtrar el contenido de los archivos propiedad de usuarios con privilegios a los que no los presentan bajo la condición apropiada. • https://access.redhat.com/security/cve/CVE-2021-3800 https://bugzilla.redhat.com/show_bug.cgi?id=1938284 https://gitlab.gnome.org/GNOME/glib/-/commit/3529bb4450a51995 https://lists.debian.org/debian-lts-announce/2022/09/msg00020.html https://security.netapp.com/advisory/ntap-20221028-0004 https://www.openwall.com/lists/oss-security/2017/06/23/8 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-552: Files or Directories Accessible to External Parties •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-39365 – grilo: missing TLS certificate verification
https://notcve.org/view.php?id=CVE-2021-39365
In GNOME grilo though 0.3.13, grl-net-wc.c does not enable TLS certificate verification on the SoupSessionAsync objects it creates, leaving users vulnerable to network MITM attacks. NOTE: this is similar to CVE-2016-20011. En GNOME grilo versiones hasta 0.3.13, grl-net-wc.c no habilita la verificación de certificados TLS en los objetos SoupSessionAsync que crea, dejando a los usuarios vulnerables a ataques MITM de red. NOTA: esto es similar a CVE-2016-20011. • https://blogs.gnome.org/mcatanzaro/2021/05/25/reminder-soupsessionsync-and-soupsessionasync-default-to-no-tls-certificate-verification https://gitlab.gnome.org/GNOME/grilo/-/issues/146 https://lists.debian.org/debian-lts-announce/2021/09/msg00010.html https://www.debian.org/security/2021/dsa-4964 https://access.redhat.com/security/cve/CVE-2021-39365 https://bugzilla.redhat.com/show_bug.cgi?id=1997161 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-39358 – gfbgraph: missing TLS certificate verification
https://notcve.org/view.php?id=CVE-2021-39358
In GNOME libgfbgraph through 0.2.4, gfbgraph-photo.c does not enable TLS certificate verification on the SoupSessionSync objects it creates, leaving users vulnerable to network MITM attacks. NOTE: this is similar to CVE-2016-20011. En GNOME libgfbgraph versiones hasta 0.2.4, el archivo gfbgraph-photo.c, no habilita la verificación del certificado TLS en los objetos SoupSessionSync que crea, dejando a usuarios vulnerables a ataques MITM de la red. NOTA: Esto es similar a CVE-2016-20011. • https://blogs.gnome.org/mcatanzaro/2021/05/25/reminder-soupsessionsync-and-soupsessionasync-default-to-no-tls-certificate-verification https://gitlab.gnome.org/GNOME/libgfbgraph/-/issues/17 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GRCVZUNPTNFQQQCEZVP7RYY6OKHPDBC5 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UYI47UX6S5PAOWVWQ2KID64MCTXTH7SE https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WXXAF56BYLSES4 • CWE-295: Improper Certificate Validation •