CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 0CVE-2019-12816
https://notcve.org/view.php?id=CVE-2019-12816
Modules.cpp in ZNC before 1.7.4-rc1 allows remote authenticated non-admin users to escalate privileges and execute arbitrary code by loading a module with a crafted name. El archivo Modules.cpp en ZNC anterior a versión 1.7.4-rc1 permite a los usuarios remotos no administradores y autenticados, escalar privilegios y ejecutar código arbitrario mediante la carga de un módulo con un nombre creado. • http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00037.html http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00018.html https://github.com/znc/znc/commit/8de9e376ce531fe7f3c8b0aa4876d15b479b7311 https://github.com/znc/znc/compare/be1b6bc...d1997d6 https://lists.debian.org/debian-lts-announce/2019/06/msg00017.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4O24TQOB73X57GACLZVMRVUK4UKHLE5G https://lists.fedoraproject.org/archives/list/package • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 1%CPEs: 5EXPL: 0CVE-2019-9917
https://notcve.org/view.php?id=CVE-2019-9917
ZNC before 1.7.3-rc1 allows an existing remote user to cause a Denial of Service (crash) via invalid encoding. ZNC, en versiones anteriores a la 1.7.3-rc1, permite que un usuario remoto existente provoque una denegación de servicio (cierre inesperado) mediante el cifrado inválido. • http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00037.html http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00018.html https://github.com/znc/znc/commit/64613bc8b6b4adf1e32231f9844d99cd512b8973 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7WTRBTPL7WWKQ7DZ2ALDTCGYUWSE6SL3 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WRHCMHI44AW5CJ22WV676BKFUWWCLA7T https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedor • CWE-20: Improper Input Validation •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-14055
https://notcve.org/view.php?id=CVE-2018-14055
ZNC before 1.7.1-rc1 does not properly validate untrusted lines coming from the network, allowing a non-admin user to escalate his privilege and inject rogue values into znc.conf. ZNC en versiones anteriores a la 1.7.1-rc1 no valida correctamente las líneas no fiables provenientes de la red, lo que permite que un usuario que no es administrador escale sus privilegios e inyecte valores no autorizados en znc.conf. • https://github.com/znc/znc/commit/a7bfbd93812950b7444841431e8e297e62cb524e https://github.com/znc/znc/commit/d22fef8620cdd87490754f607e7153979731c69d https://security.gentoo.org/glsa/201807-03 https://www.debian.org/security/2018/dsa-4252 • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-14056
https://notcve.org/view.php?id=CVE-2018-14056
ZNC before 1.7.1-rc1 is prone to a path traversal flaw via ../ in a web skin name to access files outside of the intended skins directories. ZNC en versiones anteriores a la 1.7.1-rc1 es propenso a un error de salto de directorio mediante ../ en un nombre de skin web para acceder a archivos fuera del directorio skins planeado. • https://github.com/znc/znc/commit/a4a5aeeb17d32937d8c7d743dae9a4cc755ce773 https://security.gentoo.org/glsa/201807-03 https://www.debian.org/security/2018/dsa-4252 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 0CVE-2014-9403
https://notcve.org/view.php?id=CVE-2014-9403
The CWebAdminMod::ChanPage function in modules/webadmin.cpp in ZNC before 1.4 allows remote authenticated users to cause a denial of service (NULL pointer dereference and crash) by adding a channel with the same name as an existing channel but without the leading # character, related to a "use-after-delete" error. La función CWebAdminMod::ChanPage en modules/webadmin.cpp en ZNC anterior a 1.4 permite a usuarios remotos autenticados provocar una denegación de servicio (referencia a puntero nulo y caída) al añadir un canal con el mismo nombre al de uno existente pero sin el caracter # inicial, relacionado con un error de uso después de liberación (use-after-free). • http://advisories.mageia.org/MGASA-2014-0543.html http://secunia.com/advisories/57795 http://www.mandriva.com/security/advisories?name=MDVSA-2015:013 http://www.openwall.com/lists/oss-security/2014/12/18/2 http://www.securityfocus.com/bid/66926 https://github.com/znc/znc/blob/master/ChangeLog.md https://github.com/znc/znc/issues/528 •