CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-2838
https://notcve.org/view.php?id=CVE-2022-2838
In Eclipse Sphinxâ„¢ before version 0.13.1, Apache Xerces XML Parser was used without disabling processing of referenced external entities allowing the injection of arbitrary definitions which is able to access local files and expose their contents via HTTP requests. En Eclipse Sphinx versiones anteriores a 0.13.1, era usado Apache Xerces XML Parser sin deshabilitar el procesamiento de entidades externas referenciadas permitiendo una inyección de definiciones arbitrarias que es capaz de acceder a archivos locales y exponer su contenido por medio de peticiones HTTP. • https://bugs.eclipse.org/580542 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-29050
https://notcve.org/view.php?id=CVE-2020-29050
SphinxSearch in Sphinx Technologies Sphinx through 3.1.1 allows directory traversal (in conjunction with CVE-2019-14511) because the mysql client can be used for CALL SNIPPETS and load_file operations on a full pathname (e.g., a file in the /etc directory). NOTE: this is unrelated to CMUSphinx. SphinxSearch en Sphinx Technologies Sphinx versiones hasta 3.1.1, permite un salto de directorio (en conjunto con CVE-2019-14511) porque el cliente mysql puede ser usado para operaciones CALL SNIPPETS y load_file en una ruta completa (por ejemplo, un archivo en el directorio /etc). NOTA: esto no está relacionado con CMUSphinx • https://blog.wirhabenstil.de/2019/08/19/sphinxsearch-0-0-0-09306-cve-2019-14511 https://lists.debian.org/debian-lts-announce/2022/01/msg00009.html https://security-tracker.debian.org/tracker/CVE-2020-29050 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •