CVE-2022-45062
https://notcve.org/view.php?id=CVE-2022-45062
In Xfce xfce4-settings before 4.16.4 and 4.17.x before 4.17.1, there is an argument injection vulnerability in xfce4-mime-helper. En Xfce xfce4-settings anterior a 4.16.4 y 4.17.x anterior a 4.17.1, existe una vulnerabilidad de inyección de argumentos en xfce4-mime-helper. • https://gitlab.xfce.org/xfce/xfce4-settings/-/commit/55e3c5fb667e96ad1412cf249879262b369d28d7 https://gitlab.xfce.org/xfce/xfce4-settings/-/commit/f34a92a84f96268ad24a7a13fd5edc9f1d526110 https://gitlab.xfce.org/xfce/xfce4-settings/-/issues/390 https://gitlab.xfce.org/xfce/xfce4-settings/-/tags https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XGTGTTPFHDUB3EZHVKDK4H32QUUYPPFF https://security.gentoo.org/glsa/202305-05 https://www.debian.org/security/2022/dsa-5296 • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVE-2022-32278
https://notcve.org/view.php?id=CVE-2022-32278
XFCE 4.16 allows attackers to execute arbitrary code because xdg-open can execute a .desktop file on an attacker-controlled FTP server. XFCE versión 4.16, permite a atacantes ejecutar código arbitrario porque xdg-open puede ejecutar un archivo .desktop en un servidor FTP controlado por el atacante • https://gitlab.xfce.org/xfce/exo/-/commit/c71c04ff5882b2866a0d8506fb460d4ef796de9f https://lists.debian.org/debian-lts-announce/2022/06/msg00018.html https://www.debian.org/security/2022/dsa-5164 •
CVE-2021-32563
https://notcve.org/view.php?id=CVE-2021-32563
An issue was discovered in Thunar before 4.16.7 and 4.17.x before 4.17.2. When called with a regular file as a command-line argument, it delegates to a different program (based on the file type) without user confirmation. This could be used to achieve code execution. Se detectó un problema en Thunar versiones anteriores a 4.16.7 y versiones 4.17.x anteriores a 4.17.2. Cuando es llamado con un archivo normal como argumento de línea de comandos, es delegado en un programa diferente (según el tipo de archivo) sin la confirmación del usuario. • http://www.openwall.com/lists/oss-security/2021/05/11/3 http://www.openwall.com/lists/oss-security/2023/01/05/1 http://www.openwall.com/lists/oss-security/2023/01/05/2 https://gitlab.xfce.org/xfce/thunar/-/commit/1b85b96ebf7cb9bf6a3ddf1acee7643643fdf92d https://gitlab.xfce.org/xfce/thunar/-/commit/3b54d9d7dbd7fd16235e2141c43a7f18718f5664 https://gitlab.xfce.org/xfce/thunar/-/commit/9165a61f95e43cc0b5abf9b98eee2818a0191e0b https://gitlab.xfce.org/xfce/thunar/-/tags https://www.openwa • CWE-913: Improper Control of Dynamically-Managed Code Resources •
CVE-2011-1588
https://notcve.org/view.php?id=CVE-2011-1588
Thunar before 1.3.1 could crash when copy and pasting a file name with % format characters due to a format string error. Thunar en versiones anteriores a la 1.3.1 podría bloquearse cuando se copia y pega un nombre de archivo con caracteres de formato % debido a un error de cadena de formato. • http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00008.html https://access.redhat.com/security/cve/cve-2011-1588 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-1588 https://github.com/xfce-mirror/thunar/blob/master/NEWS#L774 https://github.com/xfce-mirror/thunar/commit/03dd312e157d4fa8a11d5fa402706ae5b05806fa https://security-tracker.debian.org/tracker/CVE-2011-1588 • CWE-134: Use of Externally-Controlled Format String •
CVE-2018-18398
https://notcve.org/view.php?id=CVE-2018-18398
Xfce Thunar 1.6.15, when Xfce 4.12 is used, mishandles the IBus-Unikey input method for file searches within File Manager, leading to an out-of-bounds read and SEGV. This could potentially be exploited by an arbitrary local user who creates files in /tmp before the victim uses this input method. Xfce Thunar 1.6.15, cuando se emplea Xfce 4.12, gestiona de manera incorrecta el método de entrada IBus-Unikey para las búsquedas de archivo en File Manager, lo que conduce a una lectura fuera de límites y a un SEGV. Esto podría ser explotado por un usuario local arbitrario que crea archivos en /tmp antes de que la víctima emplee este método de entrada. • https://0xd0ff9.wordpress.com/2018/10/18/cve-2018-18398 • CWE-125: Out-of-bounds Read •