CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-17051
https://notcve.org/view.php?id=CVE-2019-17051
Evernote before 7.13 GA on macOS allows code execution because the com.apple.quarantine attribute is not used for attachment files, as demonstrated by a one-click attack involving a drag-and-drop operation on a crafted Terminal file. Evernote versiones anteriores a 7.13 GA en macOS, permite la ejecución de código porque el atributo com.apple.quarantine no se utiliza para archivos adjuntos, como es demostrado por un ataque de un clic que implica una operación de arrastrar y soltar en un archivo Terminal creado. • https://evernote.com/security/updates#MACOSNOTE-28956 https://www.youtube.com/watch?v=OG2tKlZX5bg • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.8EPSS: 20%CPEs: 1EXPL: 1CVE-2019-10038 – Evernote 7.9 - Code Execution via Path Traversal
https://notcve.org/view.php?id=CVE-2019-10038
Evernote 7.9 on macOS allows attackers to execute arbitrary programs by embedding a reference to a local executable file such as the /Applications/Calculator.app/Contents/MacOS/Calculator file. En Evernote versión 7.9 en macOS, permite a los atacantes ejecutar programas arbitrarios insertando una referencia al archivo ejecutable local como es el archivo /Applications/Calculator.app/Contents/MacOS/Calculator. Evernote version 4.9 suffers from a path traversal that can allow for code execution. • https://www.exploit-db.com/exploits/46724 https://drive.google.com/file/d/1cmWixK1vAh7oZ2y3Y3ZtVeSoTRp8c1Ts/view?usp=sharing https://evernote.com/security/updates https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20351
https://notcve.org/view.php?id=CVE-2018-20351
The Markdown component in Evernote (Chinese) before 8.3.2 on macOS allows stored XSS, aka MAC-832. El componente Markdown en Evernote (chino), en versiones anteriores a la 8.3.2 para macOS, permite Cross-Site Scripting (XSS) persistente. Esto también se conoce como MAC-832. • https://www.yinxiang.com/security/updates • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •