CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 1CVE-2021-3349
https://notcve.org/view.php?id=CVE-2021-3349
GNOME Evolution through 3.38.3 produces a "Valid signature" message for an unknown identifier on a previously trusted key because Evolution does not retrieve enough information from the GnuPG API. NOTE: third parties dispute the significance of this issue, and dispute whether Evolution is the best place to change this behavior ** EN DISPUTA ** GNOME Evolution versiones hasta 3.38.3, produce un mensaje "Valid signature" para un identificador desconocido en una clave previamente confiable porque Evolution no recupera suficiente información de la API de GnuPG. NOTA: terceros disputan la importancia de este problema y disputan si Evolution es el mejor lugar para cambiar este comportamiento • https://dev.gnupg.org/T4735 https://gitlab.gnome.org/GNOME/evolution/-/issues/299 https://mgorny.pl/articles/evolution-uid-trust-extrapolation.html • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-11879
https://notcve.org/view.php?id=CVE-2020-11879
An issue was discovered in GNOME Evolution before 3.35.91. By using the proprietary (non-RFC6068) "mailto?attach=..." parameter, a website (or other source of mailto links) can make Evolution attach local files or directories to a composed email message without showing a warning to the user, as demonstrated by an attach=. value. Se descubrió un problema en GNOME Evolution anterior a la versión 3.35.91. Al utilizar el parámetro "mailto Attach = ..." patentado (no RFC6068), un sitio web (u otra fuente de enlaces mailto) puede hacer que Evolution adjunte archivos o directorios locales a un mensaje de correo electrónico compuesto sin mostrar una advertencia al usuario , como lo demuestra un adjunto =. valor.. • https://gitlab.gnome.org/GNOME/evolution/-/blob/master/NEWS https://gitlab.gnome.org/GNOME/evolution/issues/784 https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2020/08/15/mailto-paper.pdf •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2018-15587 – evolution: specially crafted email leading to OpenPGP signatures being spoofed for arbitrary messages
https://notcve.org/view.php?id=CVE-2018-15587
GNOME Evolution through 3.28.2 is prone to OpenPGP signatures being spoofed for arbitrary messages using a specially crafted email that contains a valid signature from the entity to be impersonated as an attachment. GNOME Evolution, hasta la versión 3.28.2, es propenso a que las firmas OpenPGP sean suplantadas para mensajes arbitrarios empleando un correo electrónico especialmente manipulado que contiene una firma válida de la entidad que será suplantada como adjunto. • http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00047.html http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00061.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00024.html http://packetstormsecurity.com/files/152703/Johnny-You-Are-Fired.html http://seclists.org/fulldisclosure/2019/Apr/38 http://www.openwall.com/lists/oss-security/2019/04/30/4 https://bugzilla.gnome.org/show_bug.cgi?id=796424 https://github.com/RUB-NDS/Johnny-You-A • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 1CVE-2016-10727
https://notcve.org/view.php?id=CVE-2016-10727
camel/providers/imapx/camel-imapx-server.c in the IMAPx component in GNOME evolution-data-server before 3.21.2 proceeds with cleartext data containing a password if the client wishes to use STARTTLS but the server will not use STARTTLS, which makes it easier for remote attackers to obtain sensitive information by sniffing the network. The server code was intended to report an error and not proceed, but the code was written incorrectly. camel/providers/imapx/camel-imapx-server.c en el componente IMAPx en GNOME evolution-data-server en versiones anteriores a la 3.21.2 continúa con datos en texto claro que contienen una contraseña si el cliente desea emplear STARTTLS, pero el servidor no lo utiliza. Esto facilita que los atacantes remotos obtengan información sensible rastreando la red. El código del servidor debería reportar un error y no continuar, pero el código se escribió erróneamente. • https://bugzilla.redhat.com/show_bug.cgi?id=1334842 https://github.com/GNOME/evolution-data-server/releases/tag/EVOLUTION_DATA_SERVER_3_21_2 https://gitlab.gnome.org/GNOME/evolution-data-server/blob/master/NEWS#L1022 https://gitlab.gnome.org/GNOME/evolution-data-server/commit/f26a6f67 https://usn.ubuntu.com/3724-1 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-12422
https://notcve.org/view.php?id=CVE-2018-12422
addressbook/backends/ldap/e-book-backend-ldap.c in Evolution-Data-Server in GNOME Evolution through 3.29.2 might allow attackers to trigger a Buffer Overflow via a long query that is processed by the strcat function. NOTE: the software maintainer disputes this because "the code had computed the required string length first, and then allocated a large-enough buffer on the heap. ** EN DISPUTA ** addressbook/backends/ldap/e-book-backend-ldap.c en Evolution-Data-Server en GNOME Evolution hasta la versión 3.29.2 podría permitir que atacantes desencadenen un desbordamiento de búfer mediante una consulta larga procesada por la función strcat. NOTA: el mantenedor de software discute este CVE debido a que "el código había calculado primero la longitud de la cadena requerida y después asignó un búfer lo suficientemente grande en la memoria dinámica (heap)". • https://bugzilla.gnome.org/show_bug.cgi?id=796174 https://gitlab.gnome.org/GNOME/evolution-data-server/commit/34bad6173 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •