Libpurple
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.06258
Распределение по критичности
Критический
1
Высокий
1
Средний
2
Низкий
1
Также сопоставлено как (исходные строки): libpurple
Топ уязвимостей
CVE-2016-1000030Pidgin версии <2.11.0 содержит уязвимость при импорте сертификатов X.509, в частности, из-за неправильной проверки возвращаемых значений из gnutls_x509_crt_init() и gnutls_x509_crt_import(), что может привести к выполнению кода. Эта атака, по-видимому, может быть использована через пользовательский сертификат X.509 от другого клиента. Эта уязвимость, по-видимому, была исправлена в версии 2.11.0.
CVE-2017-2640Обнаружена ошибка записи за пределами границ в способе обработки XML-контента Pidgin версий до 2.12.0. Злонамеренный удаленный сервер может потенциально использовать этот недостаток для аварийного завершения Pidgin или выполнения произвольного кода в контексте процесса pidgin.
CVE-2022-26491Проблема была обнаружена в Pidgin до версии 2.14.9. Удаленный злоумышленник, который может подделывать DNS-ответы, может перенаправить клиентское соединение на вредоносный сервер. Клиент выполнит проверку TLS-сертификата для вредоносного доменного имени вместо исходного домена службы XMPP, что позволит злоумышленнику перехватить управление соединением XMPP и получить учетные данные пользователя и все содержимое связи. Это похоже на CVE-2022-24968.
CVE-2012-6152Плагин протокола Yahoo! в libpurple в Pidgin до версии 2.10.8 неправильно проверяет данные UTF-8, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения) через специально созданные последовательности байтов.
CVE-2014-3694(1) Включенный плагин GnuTLS SSL/TLS и (2) включенный плагин OpenSSL SSL/TLS в libpurple в Pidgin до версии 2.10.10 неправильно учитывают расширение Basic Constraints во время проверки X.509 сертификатов от SSL-серверов, что позволяет злоумышленникам типа "человек посередине" подделывать серверы и получать конфиденциальную информацию через специально созданный сертификат.