CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-5511
https://notcve.org/view.php?id=CVE-2019-5511
VMware Workstation (15.x before 15.0.3, 14.x before 14.1.6) running on Windows does not handle paths appropriately. Successful exploitation of this issue may allow the path to the VMX executable, on a Windows host, to be hijacked by a non-administrator leading to elevation of privilege. VMware Workstation (versión 15.x anterior a 15.0.3,versión 14.x anterior a 14.1.6) ejecutándose en Windows no maneja las rutas de manera apropiada. La operación con éxito de este problema puede permitir que la path ejecutable de VMX, en un host de Windows, sea secuestrada por un administrador que no conduce a la escala de privilegios. • https://www.vmware.com/security/advisories/VMSA-2019-0002.html •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2019-3772 – Spring Integration XML External Entity Injection (XXE)
https://notcve.org/view.php?id=CVE-2019-3772
Spring Integration (spring-integration-xml and spring-integration-ws modules), versions 4.3.18, 5.0.10, 5.1.1, and older unsupported versions, were susceptible to XML External Entity Injection (XXE) when receiving XML data from untrusted sources. Spring Integration (módulos spring-integration-xml y spring-integration-ws modules), en sus versiones 4.3.18, 5.0.10, 5.1.1 y anteriores no soportadas, era susceptible a inyecciones de XEE (XML External Entity) cuando recibía datos XML de fuentes no fiables. • http://www.securityfocus.com/bid/106749 https://pivotal.io/security/cve-2019-3772 https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15801 – Authorization Bypass During JWT Issuer Validation with spring-security
https://notcve.org/view.php?id=CVE-2018-15801
Spring Security versions 5.1.x prior to 5.1.2 contain an authorization bypass vulnerability during JWT issuer validation. In order to be impacted, the same private key for an honest issuer and a malicious user must be used when signing JWTs. In that case, a malicious user could fashion signed JWTs with the malicious issuer URL that may be granted for the honest issuer. Spring Security, en versiones 5.1.x anteriores a la 5.1.2 contiene una vulnerabilidad de omisión de autenticación durante la validación del emisor JWT. Para que sufra un impacto, debe emplearse la misma clave privada para un emisor honesto y un usuario malicioso al firmar JWT. • https://pivotal.io/security/cve-2018-15801 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2018-6978
https://notcve.org/view.php?id=CVE-2018-6978
vRealize Operations (7.x before 7.0.0.11287810, 6.7.x before 6.7.0.11286837 and 6.6.x before 6.6.1.11286876) contains a local privilege escalation vulnerability due to improper permissions of support scripts. Admin user of the vROps application with shell access may exploit this issue to elevate the privileges to root on a vROps machine. Note: the admin user (non-sudoer) should not be confused with root of the vROps machine. vRealize Operations (versiones 7.x anteriores a la 7.0.0.11287810, 6.7.x anteriores a la 6.7.0.11286837 y 6.6.x anteriores a la 6.6.1.11286876) contiene una vulnerabilidad de escalado de privilegios local debido a permisos incorrectos de los scripts de soporte. El usuario Admin de la aplicación vROps con acceso shell podría explotar este problema para elevar los privilegios a root en una máquina vROps. Nota: el usuario admin (no sudo) no debería confundirse con el root de la máquina vROps. • http://www.securityfocus.com/bid/106242 https://www.vmware.com/security/advisories/VMSA-2018-0031.html • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2018-6983
https://notcve.org/view.php?id=CVE-2018-6983
VMware Workstation (15.x before 15.0.2 and 14.x before 14.1.5) and Fusion (11.x before 11.0.2 and 10.x before 10.1.5) contain an integer overflow vulnerability in the virtual network devices. This issue may allow a guest to execute code on the host. VMware Workstation (versiones 15.x anteriores a la 15.0.2 y versiones 14.x anteriores a la 14.1.5) y Fusion (versiones 11.x anteriores a la 11.0.2 y versiones 10.x anteriores a la 10.1.5) contiene una vulnerabilidad de desbordamiento de enteros en los dispositivos de red virtuales. Este problema podría permitir que un invitado ejecute código en el host. • http://www.securityfocus.com/bid/105986 https://www.vmware.com/security/advisories/VMSA-2018-0030.html • CWE-190: Integer Overflow or Wraparound •