| Vulnerability Name: | CVE-2007-0007 (CCN-32558) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2006-12-19 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2007-02-19 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2017-07-29 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | gnucash 2.0.4 and earlier allows local users to overwrite arbitrary files via a symlink attack on the (1) gnucash.trace, (2) qof.trace, and (3) qof.trace.[PID] temporary files. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 4.0 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 3.6 Low (CVSS v2 Vector: AV:L/AC:L/Au:N/C:N/I:P/A:P) 3.1 Low (Temporal CVSS v2 Vector: AV:L/AC:L/Au:N/C:N/I:P/A:P/E:H/RL:OF/RC:C)
2.3 Low (CCN Temporal CVSS v2 Vector: AV:L/AC:H/Au:N/C:N/I:P/A:P/E:H/RL:OF/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-Other | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | File Manipulation | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2007-0007 Source: FEDORA Type: UNKNOWN FEDORA-2007-256 Source: CCN Type: SA24225 GnuCash Insecure Temporary Files Source: SECUNIA Type: Patch, Vendor Advisory 24225 Source: SECUNIA Type: UNKNOWN 24226 Source: SECUNIA Type: UNKNOWN 24317 Source: CONFIRM Type: UNKNOWN http://sourceforge.net/project/shownotes.php?group_id=192&release_id=487446 Source: CCN Type: SourceForge.net Gnucash - File Release Notes and Changelog- Release Name: 2.0.5 Source: CCN Type: GnuCash Web site Open Source Accounting Software | GnuCash Source: MANDRIVA Type: UNKNOWN MDKSA-2007:046 Source: CCN Type: OSVDB ID: 33224 GnuCash Multiple trace File Symlink Arbitrary File Overwrite Source: BID Type: UNKNOWN 22610 Source: CCN Type: BID-22610 GNUCash Insecure Temporary File Creation Vulnerability Source: VUPEN Type: UNKNOWN ADV-2007-0653 Source: CONFIRM Type: Vendor Advisory https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=223233 Source: XF Type: UNKNOWN gnucash-symlink(32558) Source: XF Type: UNKNOWN gnucash-symlink(32558) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||