CVSS: 2.4EPSS: 0%CPEs: 2EXPL: 0CVE-2013-7393
https://notcve.org/view.php?id=CVE-2013-7393
The daemonize.py module in Subversion 1.8.0 before 1.8.2 allows local users to gain privileges via a symlink attack on the pid file created for (1) svnwcsub.py or (2) irkerbridge.py when the --pidfile option is used. NOTE: this issue was SPLIT from CVE-2013-4262 based on different affected versions (ADT3). El módulo daemonize.py en Subversion 1.8.0 anterior a 1.8.2 permite a usuarios locales ganar privilegios a través de un ataque de enlace simbólico sobre el fichero pid creado para (1) svnwcsub.py o (2) irkerbridge.py cuando la opción --pidfile está utilizada. NOTA: este problema fue dividido (SPLIT) de CVE-2013-4262 basado en diferentes versiones afectadas (ADT3). • http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html https://subversion.apache.org/security/CVE-2013-4262-advisory.txt • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 2.4EPSS: 0%CPEs: 3EXPL: 0CVE-2013-4262
https://notcve.org/view.php?id=CVE-2013-4262
svnwcsub.py in Subversion 1.8.0 before 1.8.3, when using the --pidfile option and running in foreground mode, allows local users to gain privileges via a symlink attack on the pid file. NOTE: this issue was SPLIT due to different affected versions (ADT3). The irkerbridge.py issue is covered by CVE-2013-7393. svnwcsub.py en Subversion 1.8.0 anterior a 1.8.3, cuando se utiliza la opción --pidfile y se funciona en el modo en primer plano, permite a usuarios locales ganar privilegios a través de un ataque de enlace simbólico sobre el fichero pid. NOTA: este problema fue dividido (SPLIT) debido a diferentes versiones afectadas (ADT3). El problema irkerbridge.py está cubierto por CVE-2013-7393. • http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html https://subversion.apache.org/security/CVE-2013-4262-advisory.txt • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 4.3EPSS: 10%CPEs: 21EXPL: 0CVE-2014-0032 – subversion: mod_dav_svn crash when handling certain requests with SVNListParentPath on
https://notcve.org/view.php?id=CVE-2014-0032
The get_resource function in repos.c in the mod_dav_svn module in Apache Subversion before 1.7.15 and 1.8.x before 1.8.6, when SVNListParentPath is enabled, allows remote attackers to cause a denial of service (crash) via vectors related to the server root and request methods other than GET, as demonstrated by the "svn ls http://svn.example.com" command. la función get_resource en repos.c en el módulo mod_dav_svn en Apache Subversion anterior a 1.7.15 y 1.8.x anterior a 1.8.6, cuando SVNListParentPath está habilitado, permite a atacantes remotos causar una denegación de servicio (caída) a través de vectores relacionados con la raíz del servidor y solicitudes diferentes a GET, tal como se ha demostrado con el comando "svn ls http://svn.example.com". • http://lists.opensuse.org/opensuse-updates/2014-02/msg00086.html http://lists.opensuse.org/opensuse-updates/2014-03/msg00011.html http://mail-archives.apache.org/mod_mbox/subversion-dev/201401.mbox/%3C52D328AB.8090502%40reser.org%3E http://mail-archives.apache.org/mod_mbox/subversion-dev/201401.mbox/%3C871u0gqb0d.fsf%40ntlworld.com%3E http://mail-archives.apache.org/mod_mbox/subversion-dev/201401.mbox/%3CCANvU9scLHr2yOLABW8q6_wNzhEf7pWM=NiavGcobqvUuyhKyAA%40mail.gmail.com%3E http://rhn.redhat.com/errata/ • CWE-20: Improper Input Validation •
CVSS: 2.6EPSS: 0%CPEs: 54EXPL: 0CVE-2013-4505
https://notcve.org/view.php?id=CVE-2013-4505
The is_this_legal function in mod_dontdothat for Apache Subversion 1.4.0 through 1.7.13 and 1.8.0 through 1.8.4 allows remote attackers to bypass intended access restrictions and possibly cause a denial of service (resource consumption) via a relative URL in a REPORT request. La función is_this_legal en mod_dontdothat para Apache Subversion 1.4.0 a 1.7.13 y 1.8.0 a 1.8.4 permite a atacantes remotos sortear restricciones de acceso intencionadas y posiblemente causar denegación de servicio (consumo de recursos) a través de URL relativas en una petición REPORT. • http://lists.opensuse.org/opensuse-updates/2013-12/msg00029.html http://lists.opensuse.org/opensuse-updates/2013-12/msg00048.html http://osvdb.org/100364 http://secunia.com/advisories/55855 http://subversion.apache.org/security/CVE-2013-4505-advisory.txt • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 3.5EPSS: 2%CPEs: 8EXPL: 0CVE-2013-4558
https://notcve.org/view.php?id=CVE-2013-4558
The get_parent_resource function in repos.c in mod_dav_svn Apache HTTPD server module in Subversion 1.7.11 through 1.7.13 and 1.8.1 through 1.8.4, when built with assertions enabled and SVNAutoversioning is enabled, allows remote attackers to cause a denial of service (assertion failure and Apache process abort) via a non-canonical URL in a request, as demonstrated using a trailing /. La función get_parent_resource en respos.c en el módulo de servidor mod_dav_svn Apache HTTPD en Subversion 1.7.11 a 1.7.13 y 1.8.1 a 1.8.4, cuando se construyen con aserciones activas y SVNAutoversioning está habilitado, permite a atacantes remotos causar denegación de servicio (fallo de aserción y aborto de proceso Apache) a través de una URL no canónica en una petición, como se muestra utilizando una '/' final. • http://lists.opensuse.org/opensuse-updates/2013-12/msg00029.html http://lists.opensuse.org/opensuse-updates/2013-12/msg00048.html http://osvdb.org/100363 http://subversion.apache.org/security/CVE-2013-4558-advisory.txt https://bugzilla.redhat.com/show_bug.cgi?id=1033431 https://github.com/apache/subversion/commit/2c77c43e4255555f3b79f761f0d141393a3856cc https://github.com/apache/subversion/commit/647e3f8365a74831bb915f63793b63e31fae062d • CWE-20: Improper Input Validation •