| Vulnerability Name: | CVE-2018-20190 (CCN-154428) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2018-12-04 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2018-12-04 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2019-07-23 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | In LibSass 3.5.5, a NULL Pointer Dereference in the function Sass::Eval::operator()(Sass::Supports_Operator*) in eval.cpp may cause a Denial of Service (application crash) via a crafted sass input file. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 6.5 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H) 5.9 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:P/RL:U/RC:R)
3.0 Low (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:P/RL:U/RC:R)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:N/A:P)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-476 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Denial of Service | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2018-20190 Source: SUSE Type: UNKNOWN openSUSE-SU-2019:1791 Source: SUSE Type: UNKNOWN openSUSE-SU-2019:1800 Source: SUSE Type: UNKNOWN openSUSE-SU-2019:1883 Source: BID Type: Third Party Advisory, VDB Entry 106232 Source: XF Type: UNKNOWN libsass-cve201820190-dos(154428) Source: CCN Type: libsass GIT Repository Null pointer dereference in Sass::Eval::operator()(Sass::Supports_Operator*) eval.cpp #2786 Source: MISC Type: Exploit, Third Party Advisory https://github.com/sass/libsass/issues/2786 Source: CCN Type: IBM Security Bulletin 6414343 (Security Verify Information Queue) IBM Security Verify Information Queue uses a Node.js package with multiple vulnerabilities Source: CCN Type: IBM Security Bulletin 6575649 (Spectrum Discover) Medium/low severity vulnerabilities in libraries used by IBM Spectrum Discover (libraries of libraries) Source: CCN Type: IBM Security Bulletin 6612791 (Cloud Pak System Software) Multiple Vulnerabilities in Node.js affect IBM Cloud Pak System. Source: CCN Type: IBM Security Bulletin 6967283 (QRadar User Behavior Analytics) IBM QRadar User Behavior Analytics is vulnerable to components with known vulnerabilities Source: CCN Type: IBM Security Bulletin 6991585 (Edge Application Manager) Open Source Dependency Vulnerability | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||