CVSS: 8.1EPSS: 13%CPEs: 3EXPL: 0CVE-2018-18820
https://notcve.org/view.php?id=CVE-2018-18820
A buffer overflow was discovered in the URL-authentication backend of the Icecast before 2.4.4. If the backend is enabled, then any malicious HTTP client can send a request for that specific resource including a crafted header, leading to denial of service and potentially remote code execution. Se ha descubierto un desbordamiento de búfer en el backend de autenticación de URL en Icecast en versiones anteriores a la 2.4.4. Si el backend está habilitado, cualquier cliente HTTP malicioso puede enviar una petición para ese recurso concreto incluyendo una cabecera manipulada, lo que conduce a una denegación de servicio y a la potencial ejecución remota de código. • http://www.openwall.com/lists/oss-security/2018/11/01/3 http://www.securitytracker.com/id/1042019 https://lists.debian.org/debian-lts-announce/2018/11/msg00033.html https://security.gentoo.org/glsa/201811-09 https://www.debian.org/security/2018/dsa-4333 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 5.0EPSS: 4%CPEs: 4EXPL: 1CVE-2015-3026
https://notcve.org/view.php?id=CVE-2015-3026
Icecast before 2.4.2, when a stream_auth handler is defined for URL authentication, allows remote attackers to cause a denial of service (NULL pointer dereference and crash) via a request without login credentials, as demonstrated by a request to "admin/killsource?mount=/test.ogg." Icecast anterior a 2.4.2, cuando un manejador stream_auth está definido para la autenticación de URLs, permite a atacantes remotos causar una denegación de servicio (referencia a puntero nulo y caída) a través de una solicitud sin las credenciales de inicio de sesión, tal y como fue demostrado por una solicitud a 'admin/killsource?mount=/test.ogg.' • http://lists.fedoraproject.org/pipermail/package-announce/2015-August/163859.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164061.html http://lists.fedoraproject.org/pipermail/package-announce/2015-August/164074.html http://lists.opensuse.org/opensuse-updates/2015-04/msg00030.html http://lists.xiph.org/pipermail/icecast-dev/2015-April/002460.html http://www.debian.org/security/2015/dsa-3239 http://www.openwall.com/lists/oss-security/2015/04/08/11 http://www.o •
CVSS: 4.6EPSS: 0%CPEs: 1EXPL: 1CVE-2014-9091
https://notcve.org/view.php?id=CVE-2014-9091
Icecast before 2.4.0 does not change the supplementary group privileges when <changeowner> is configured, which allows local users to gain privileges via unspecified vectors. Icecast anterior a 2.4.0 no cambia los privilegios de grupo suplementario cuando está configurado, lo que permite a usuarios locales ganar privilegios a través de vectores no especificados. • http://icecast.org/news/icecast-release-2_4_0 http://lists.opensuse.org/opensuse-updates/2014-12/msg00037.html http://seclists.org/oss-sec/2014/q4/794 http://seclists.org/oss-sec/2014/q4/802 https://bugzilla.redhat.com/show_bug.cgi?id=1168146 https://trac.xiph.org/changeset/19137 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 2%CPEs: 1EXPL: 3CVE-2014-9018
https://notcve.org/view.php?id=CVE-2014-9018
Icecast before 2.4.1 transmits the output of the on-connect script, which might allow remote attackers to obtain sensitive information, related to shared file descriptors. Icecast anterior a 2.4.1 transmite las salidas de las secuencias de comandos 'on-connect', lo que podría permitir a atacantes remotos obtener información sensible, relacionado con descriptores de ficheros compartidos. • http://icecast.org/news/icecast-release-2_4_1 http://lists.opensuse.org/opensuse-updates/2014-12/msg00038.html http://www.mandriva.com/security/advisories?name=MDVSA-2014:231 http://www.openwall.com/lists/oss-security/2014/11/19/23 http://www.openwall.com/lists/oss-security/2014/11/20/22 http://www.securityfocus.com/bid/71312 https://exchange.xforce.ibmcloud.com/vulnerabilities/98991 https://trac.xiph.org/ticket/2087 https://trac.xiph.org/ticket/2089 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2011-4612
https://notcve.org/view.php?id=CVE-2011-4612
icecast before 2.3.3 allows remote attackers to inject control characters such as newlines into the error loc (error.log) via a crafted URL. icecast antes de v2.3.3 permite a atacantes remotos inyectar caracteres de control, tales como saltos de línea en registro de errores (error.log) a través de una URL maliciosa. • http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090668.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090695.html http://www.icecast.org https://bugzilla.redhat.com/show_bug.cgi?id=768176 • CWE-20: Improper Input Validation •