CVSS: 4.7EPSS: 0%CPEs: 2EXPL: 1CVE-2018-18398
https://notcve.org/view.php?id=CVE-2018-18398
Xfce Thunar 1.6.15, when Xfce 4.12 is used, mishandles the IBus-Unikey input method for file searches within File Manager, leading to an out-of-bounds read and SEGV. This could potentially be exploited by an arbitrary local user who creates files in /tmp before the victim uses this input method. Xfce Thunar 1.6.15, cuando se emplea Xfce 4.12, gestiona de manera incorrecta el método de entrada IBus-Unikey para las búsquedas de archivo en File Manager, lo que conduce a una lectura fuera de límites y a un SEGV. Esto podría ser explotado por un usuario local arbitrario que crea archivos en /tmp antes de que la víctima emplee este método de entrada. • https://0xd0ff9.wordpress.com/2018/10/18/cve-2018-18398 • CWE-125: Out-of-bounds Read •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2009-4996
https://notcve.org/view.php?id=CVE-2009-4996
Xfce4-session 4.5.91 in Xfce does not lock the screen when the suspend or hibernate button is pressed, which might make it easier for physically proximate attackers to access an unattended laptop via a resume action, a related issue to CVE-2010-2532. NOTE: there is no general agreement that this is a vulnerability, because separate control over locking can be an equally secure, or more secure, behavior in some threat environments ** IMPUGNADA ** Xfce4-session en Xfce no bloquea la pantalla cuando se pulsa el botón de suspender o hibernar, lo que podría hacer más sencillo a atacantes fisicamente cercanos, acceder a un portátil desatendido a través de una acción de reactivación del equipo ("resume action"), un fallo relacionado con CVE-2010-2532. NOTA: no hay un acuerdo generalizado que confirme que se trate de una vulnerabilidad porque controles separados sobre bloqueo pueden ser comportamientos igual o más seguros en algunos entornos amenazados. • http://bugzilla.xfce.org/show_bug.cgi?id=4805 https://bugzilla.redhat.com/show_bug.cgi?id=525395 https://bugzilla.redhat.com/show_bug.cgi?id=587633 https://bugzilla.redhat.com/show_bug.cgi?id=614608 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 10.0EPSS: 5%CPEs: 1EXPL: 0CVE-2007-6532
https://notcve.org/view.php?id=CVE-2007-6532
Double free vulnerability in the Widget Library (libxfcegui4) in Xfce before 4.4.2 might allow remote attackers to execute arbitrary code via unknown vectors related to the "cliend id, program name and working directory in session management." Una vulnerabilidad de doble liberación en la Biblioteca Widgets (libxfcegui4) en Xfce versiones anteriores a 4.4.2, podría permitir a atacantes remotos ejecutar código arbitrario por medio de vectores desconocidos relacionados al "cliend id, program name and working directory in session management." • http://bugs.gentoo.org/show_bug.cgi?id=201292 http://security.gentoo.org/glsa/glsa-200801-06.xml http://www.vupen.com/english/advisories/2008/0080 http://www.xfce.org/documentation/changelogs/4.4.2 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.0EPSS: 3%CPEs: 1EXPL: 0CVE-2007-6531
https://notcve.org/view.php?id=CVE-2007-6531
Stack-based buffer overflow in the Panel (xfce4-panel) component in Xfce before 4.4.2 might allow remote attackers to execute arbitrary code via Launcher tooltips. NOTE: a second buffer overflow (over-read) in the xfce_mkdirhier function was also reported, but it might not be exploitable for a crash or code execution, so it is not a vulnerability. Desbordamiento de búfer basado en pila en el componente Panel (xfce4-panel) para Xfce anterior a 4.4.2 podría permitir a atacantes remotos ejecutar código de su elección mediante un globo de ayuda de Launcher. NOTA: se ha reportado también un segundo desbordamiento de búfer (sobre-lectura) en la función xfce_mkdirhier, pero podría no ser explotable para un cierre o ejecución de código, y por tanto no es una vulnerabilidad. • http://bugs.gentoo.org/show_bug.cgi?id=201289 http://bugs.gentoo.org/show_bug.cgi?id=201293 http://osvdb.org/43422 http://security.gentoo.org/glsa/glsa-200801-06.xml http://www.vupen.com/english/advisories/2008/0080 http://www.xfce.org/documentation/changelogs/4.4.2 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 0CVE-2000-1060
https://notcve.org/view.php?id=CVE-2000-1060
The default configuration of XFCE 3.5.1 bypasses the Xauthority access control mechanism with an "xhost + localhost" command in the xinitrc program, which allows local users to sniff X Windows traffic and gain privileges. • http://archives.neohapsis.com/archives/bugtraq/2000-10/0022.html http://www.securityfocus.com/bid/1736 https://exchange.xforce.ibmcloud.com/vulnerabilities/5305 •