CVE-2022-2838
https://notcve.org/view.php?id=CVE-2022-2838
In Eclipse Sphinxâ„¢ before version 0.13.1, Apache Xerces XML Parser was used without disabling processing of referenced external entities allowing the injection of arbitrary definitions which is able to access local files and expose their contents via HTTP requests. En Eclipse Sphinx versiones anteriores a 0.13.1, era usado Apache Xerces XML Parser sin deshabilitar el procesamiento de entidades externas referenciadas permitiendo una inyección de definiciones arbitrarias que es capaz de acceder a archivos locales y exponer su contenido por medio de peticiones HTTP. • https://bugs.eclipse.org/580542 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2020-29050
https://notcve.org/view.php?id=CVE-2020-29050
SphinxSearch in Sphinx Technologies Sphinx through 3.1.1 allows directory traversal (in conjunction with CVE-2019-14511) because the mysql client can be used for CALL SNIPPETS and load_file operations on a full pathname (e.g., a file in the /etc directory). NOTE: this is unrelated to CMUSphinx. SphinxSearch en Sphinx Technologies Sphinx versiones hasta 3.1.1, permite un salto de directorio (en conjunto con CVE-2019-14511) porque el cliente mysql puede ser usado para operaciones CALL SNIPPETS y load_file en una ruta completa (por ejemplo, un archivo en el directorio /etc). NOTA: esto no está relacionado con CMUSphinx • https://blog.wirhabenstil.de/2019/08/19/sphinxsearch-0-0-0-09306-cve-2019-14511 https://lists.debian.org/debian-lts-announce/2022/01/msg00009.html https://security-tracker.debian.org/tracker/CVE-2020-29050 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2019-14511
https://notcve.org/view.php?id=CVE-2019-14511
Sphinx Technologies Sphinx 3.1.1 by default has no authentication and listens on 0.0.0.0, making it exposed to the internet (unless filtered by a firewall or reconfigured to listen to 127.0.0.1 only). Sphinx Technologies Sphinx versión 3.1.1, por defecto no presenta autenticación y escucha sobre 0.0.0.0, lo que hace exponerlo a Internet (a menos que sea filtrado por un firewall o reconfigurado para escuchar solo 127.0.0.1). • http://sphinxsearch.com/docs/sphinx3.html#getting-started-on-linux-and-macos https://blog.wirhabenstil.de/2019/08/19/sphinxsearch-0-0-0-09306-cve-2019-14511 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3FPPNZZMWTZOMFGFETMET6YKIH2DQDKS https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XD25JJJVM7FFXAO2L3ZG2KXQ6UMFBIA4 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YSLPW44RWIGHU5AG3P4U2HPSD3UBG4GJ https:/ • CWE-306: Missing Authentication for Critical Function •