CVE-2021-27229
https://notcve.org/view.php?id=CVE-2021-27229
Mumble before 1.3.4 allows remote code execution if a victim navigates to a crafted URL on a server list and clicks on the Open Webpage text. Mumble versiones anteriores a 1.3.4, permite una ejecución de código remota si una víctima navega hacia una URL diseñada en una lista de servidores y hace clic sobre el texto Open Webpage • https://github.com/mumble-voip/mumble/commit/e59ee87abe249f345908c7d568f6879d16bfd648 https://github.com/mumble-voip/mumble/compare/1.3.3...1.3.4 https://github.com/mumble-voip/mumble/pull/4733 https://lists.debian.org/debian-lts-announce/2021/02/msg00022.html https://security.gentoo.org/glsa/202105-13 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVE-2020-13962 – qt5: incorrectly calls SSL_shutdown() in OpenSSL mid-handshake causing denial of service in TLS applications
https://notcve.org/view.php?id=CVE-2020-13962
Qt 5.12.2 through 5.14.2, as used in unofficial builds of Mumble 1.3.0 and other products, mishandles OpenSSL's error queue, which can cause a denial of service to QSslSocket users. Because errors leak in unrelated TLS sessions, an unrelated session may be disconnected when any handshake fails. (Mumble 1.3.1 is not affected, regardless of the Qt version.) Qt versiones 5.12.2 hasta 5.14.2, como es usado en compilaciones no oficiales de Mumble versión 1.3.0 y otros productos, maneja inapropiadamente la cola de errores de OpenSSL, lo que puede ser capaz de causar una denegación de servicio a usuarios de QSslSocket. Debido a que los errores se filtran en sesiones TLS no relacionadas, una sesión no relacionada puede ser desconectada cuando se comete un fallo en cualquier protocolo de enlace. • http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00004.html https://bugreports.qt.io/browse/QTBUG-83450 https://github.com/mumble-voip/mumble/issues/3679 https://github.com/mumble-voip/mumble/pull/4032 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4X6EDPIIAQPVP2CHL2CHDHJ25EECA7UE https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UQJDBZUYMMF4R5QQKD2HTIKQU2NSKO63 https://lists.fedoraproject.org/archives/list/package-annou • CWE-391: Unchecked Error Condition •
CVE-2018-20743
https://notcve.org/view.php?id=CVE-2018-20743
murmur in Mumble through 1.2.19 before 2018-08-31 mishandles multiple concurrent requests that are persisted in the database, which allows remote attackers to cause a denial of service (daemon hang or crash) via a message flood. murmur en Mumble, hasta la versión 1.2.19 antes del 31/08/2018, gestiona de manera incorrecta múltiples peticiones concurrentes que persisten en la base de datos, lo que permite a los atacantes remotos provocar una denegación de servicio (bloqueo o cierre inesperado del demonio) mediante una inundación de mensajes. • http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00045.html http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00023.html http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00058.html https://bugs.debian.org/919249 https://github.com/mumble-voip/mumble/issues/3505 https://github.com/mumble-voip/mumble/pull/3510 https://github.com/mumble-voip/mumble/pull/3512 https://lists.debian.org/debian-lts-announce/2019/02/msg00006.html https://www.deb • CWE-20: Improper Input Validation •
CVE-2014-3756
https://notcve.org/view.php?id=CVE-2014-3756
The client in Mumble 1.2.x before 1.2.6 allows remote attackers to force the loading of an external file and cause a denial of service (hang and resource consumption) via a crafted string that is treated as rich-text by a Qt widget, as demonstrated by the (1) user or (2) channel name in a Qt dialog, (3) subject common name or (4) email address to the Certificate Wizard, or (5) server name in a tooltip. El cliente en Mumble 1.2.x anterior a 1.2.6 permite a atacantes remotos forzar la subida de un fichero externo y provocar una denegación de servicio (caída y el consumo de recursos) a través de una cadena manipulada que Qt widget, trata como texto enriquecido, como se demuestra en el nombre de (1) usuario o (2) nombre del canal en Qt dialog, (3) nombre del asunto o (4) dirección de correo al Certificate Wizard, o (5) nombre del servidor en un texto de ayuda. • http://mumble.info/security/Mumble-SA-2014-006.txt http://www.openwall.com/lists/oss-security/2014/05/15/1 http://www.openwall.com/lists/oss-security/2014/05/15/4 http://www.securityfocus.com/bid/67401 • CWE-19: Data Processing Errors •
CVE-2014-3755
https://notcve.org/view.php?id=CVE-2014-3755
The QSvg module in Qt, as used in the Mumble client 1.2.x before 1.2.6, allows remote attackers to cause a denial of service (hang and resource consumption) via a local file reference in an (1) image tag or (2) XML stylesheet in an SVG file. El modulo QSvg en Qt, usado en Mumble client 1.2.x anterior a 1.2.6, permite a atacantes remotos causar una denegación de servicio (cuelgue y el consumo de recursos)a través de la referencia de un archivo local en (1) una etiqueta de imagen o (2)en una hoja de estilos XML dentro de un archivo SVG. • http://mumble.info/security/Mumble-SA-2014-005.txt http://www.openwall.com/lists/oss-security/2014/05/15/1 http://www.openwall.com/lists/oss-security/2014/05/15/4 http://www.securityfocus.com/bid/67400 https://qt.gitorious.org/qt/mumble-developers-qt/commit/2147fa767980fe27a14f018b1528dbf880b96814 • CWE-399: Resource Management Errors •