CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-6410
https://notcve.org/view.php?id=CVE-2017-6410
kpac/script.cpp in KDE kio before 5.32 and kdelibs before 4.14.30 calls the PAC FindProxyForURL function with a full https URL (potentially including Basic Authentication credentials, a query string, or PATH_INFO), which allows remote attackers to obtain sensitive information via a crafted PAC file. kpac/script.cpp en KDE kio en versiones anteriores a 5.32 y kdelibs en versiones anteriores a 4.14.30 llama a la función PAC FindProxyForURL con una URL https completa (incluyendo potencialmente credenciales de autenticación básicas, una cadena de consulta o PATH_INFO), lo que permite a atacantes remotos obtener información sensible a través de un archivo PAC manipulado. • http://www.debian.org/security/2017/dsa-3849 http://www.securityfocus.com/bid/96515 https://www.kde.org/info/security/advisory-20170228-1.txt • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.8EPSS: 1%CPEs: 2EXPL: 1CVE-2017-5330
https://notcve.org/view.php?id=CVE-2017-5330
ark before 16.12.1 might allow remote attackers to execute arbitrary code via an executable in an archive, related to associated applications. ark en versiones anteriores a 16.12.1 podrían permitir a atacantes remotos ejecutar código arbitrario a través de un ejecutable en un archivo, relacionado con las aplicaciones asociadas. • http://www.openwall.com/lists/oss-security/2017/01/10/2 http://www.securityfocus.com/bid/95349 https://bugs.kde.org/show_bug.cgi?id=374572 https://cgit.kde.org/ark.git/commit/?id=82fdfd24d46966a117fa625b68784735a40f9065 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NIMZUCG6IQR5S65IVQOXQFQV7TMVSYAT https://security.gentoo.org/glsa/201701-69 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-7968
https://notcve.org/view.php?id=CVE-2016-7968
KMail since version 5.3.0 used a QWebEngine based viewer that had JavaScript enabled. HTML Mail contents were not sanitized for JavaScript and included code was executed. KMail desde la versión 5.3.0 tal como se utiliza en un visor basado en QWebEngine que tenía habilitado JavaScript. Los contenidos de HTML Mail no fueron desinfectados para JavaScript y el código incluido fue ejecutado. • http://www.openwall.com/lists/oss-security/2016/10/05/1 http://www.securityfocus.com/bid/93360 https://www.kde.org/info/security/advisory-20161006-3.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.8EPSS: 0%CPEs: 5EXPL: 0CVE-2016-2312
https://notcve.org/view.php?id=CVE-2016-2312
Turning all screens off in Plasma-workspace and kscreenlocker while the lock screen is shown can result in the screen being unlocked when turning a screen on again. Desactivar todas las pantallas en Plasma-workspace y kscreenlocker mientras se muestra la pantalla de bloqueo puede resultar en el desbloqueo de la pantalla cuando se vuelva a encender una pantalla. • http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177454.html http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177557.html https://bugs.kde.org/show_bug.cgi?id=358125 https://bugzilla.opensuse.org/show_bug.cgi?id=964548 https://www.kde.org/info/security/advisory-20160209-1.txt • CWE-254: 7PK - Security Features •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-7967
https://notcve.org/view.php?id=CVE-2016-7967
KMail since version 5.3.0 used a QWebEngine based viewer that had JavaScript enabled. Since the generated html is executed in the local file security context by default access to remote and local URLs was enabled. KMail desde la versión 5.3.0 como se utiliza en un visor basado en QWebEngine que tenía habilitado JavaScript. Dado que el html generado es ejecutado en el contexto de seguridad de archivos local mediante el acceso predeterminado a URLs remotas y locales estaba habilitado. • http://www.openwall.com/lists/oss-security/2016/10/05/1 http://www.securityfocus.com/bid/93360 https://www.kde.org/info/security/advisory-20161006-2.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-284: Improper Access Control •