CVSS: 4.7EPSS: 0%CPEs: 2EXPL: 1CVE-2018-18398
https://notcve.org/view.php?id=CVE-2018-18398
Xfce Thunar 1.6.15, when Xfce 4.12 is used, mishandles the IBus-Unikey input method for file searches within File Manager, leading to an out-of-bounds read and SEGV. This could potentially be exploited by an arbitrary local user who creates files in /tmp before the victim uses this input method. Xfce Thunar 1.6.15, cuando se emplea Xfce 4.12, gestiona de manera incorrecta el método de entrada IBus-Unikey para las búsquedas de archivo en File Manager, lo que conduce a una lectura fuera de límites y a un SEGV. Esto podría ser explotado por un usuario local arbitrario que crea archivos en /tmp antes de que la víctima emplee este método de entrada. • https://0xd0ff9.wordpress.com/2018/10/18/cve-2018-18398 • CWE-125: Out-of-bounds Read •
CVSS: 10.0EPSS: 5%CPEs: 1EXPL: 0CVE-2007-6532
https://notcve.org/view.php?id=CVE-2007-6532
Double free vulnerability in the Widget Library (libxfcegui4) in Xfce before 4.4.2 might allow remote attackers to execute arbitrary code via unknown vectors related to the "cliend id, program name and working directory in session management." Una vulnerabilidad de doble liberación en la Biblioteca Widgets (libxfcegui4) en Xfce versiones anteriores a 4.4.2, podría permitir a atacantes remotos ejecutar código arbitrario por medio de vectores desconocidos relacionados al "cliend id, program name and working directory in session management." • http://bugs.gentoo.org/show_bug.cgi?id=201292 http://security.gentoo.org/glsa/glsa-200801-06.xml http://www.vupen.com/english/advisories/2008/0080 http://www.xfce.org/documentation/changelogs/4.4.2 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.0EPSS: 3%CPEs: 1EXPL: 0CVE-2007-6531
https://notcve.org/view.php?id=CVE-2007-6531
Stack-based buffer overflow in the Panel (xfce4-panel) component in Xfce before 4.4.2 might allow remote attackers to execute arbitrary code via Launcher tooltips. NOTE: a second buffer overflow (over-read) in the xfce_mkdirhier function was also reported, but it might not be exploitable for a crash or code execution, so it is not a vulnerability. Desbordamiento de búfer basado en pila en el componente Panel (xfce4-panel) para Xfce anterior a 4.4.2 podría permitir a atacantes remotos ejecutar código de su elección mediante un globo de ayuda de Launcher. NOTA: se ha reportado también un segundo desbordamiento de búfer (sobre-lectura) en la función xfce_mkdirhier, pero podría no ser explotable para un cierre o ejecución de código, y por tanto no es una vulnerabilidad. • http://bugs.gentoo.org/show_bug.cgi?id=201289 http://bugs.gentoo.org/show_bug.cgi?id=201293 http://osvdb.org/43422 http://security.gentoo.org/glsa/glsa-200801-06.xml http://www.vupen.com/english/advisories/2008/0080 http://www.xfce.org/documentation/changelogs/4.4.2 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 0CVE-2000-1060
https://notcve.org/view.php?id=CVE-2000-1060
The default configuration of XFCE 3.5.1 bypasses the Xauthority access control mechanism with an "xhost + localhost" command in the xinitrc program, which allows local users to sniff X Windows traffic and gain privileges. • http://archives.neohapsis.com/archives/bugtraq/2000-10/0022.html http://www.securityfocus.com/bid/1736 https://exchange.xforce.ibmcloud.com/vulnerabilities/5305 •