Полная база данных уязвимостей CVE. Отслеживайте критические угрозы безопасности, эксплойты и патчи. Обновляется ежедневно.
В systemd 259 systemd-journald может отправлять escape-последовательности ANSI на терминалы произвольных пользователей при выполнении команды «logger -p emerg», если установлено ForwardToWall=yes.
В systemd 260 до 261 локальный непривилегированный пользователь может инициировать утверждение через вызов API IPC с массивом или картой, которая имеет нулевой элемент.
В nspawn в systemd с 233 по 259 до 260 действие escape-to-host может выполняться через созданный дополнительный файл конфигурации.
В udev в systemd до версии 260 локальное выполнение root может происходить через вредоносные аппаратные устройства и несанкционированный вывод ядра.
В systemd 259 до 260 существует локальное повышение привилегий в systemd-machined, поскольку varlink можно использовать для доступа к корневому пространству имен.
В systemd 258 до 260 локальный непривилегированный пользователь может инициировать утверждение, когда модуль Delegate=yes и User=<unset> существует и работает.
XMLLayout Apache Log4cxx https://logging.apache.org/log4cxx/1.7.0/classlog4cxx_1_1xml_1_1XMLLayout.html в версиях до 1.7.0 не может очистить символы, запрещенные спецификацией XML 1.0 https://www.w3.org/TR/xml/#charsets в сообщениях журнала, ключах и значениях свойств NDC и MDC, создание недопустимого вывода …
XmlLayout Apache Log4net https://logging.apache.org/log4net/manual/configuration/layouts.html#layout-list и XmlLayoutSchemaLog4J https://logging.apache.org/log4net/manual/configuration/layouts.html#layout-list в версиях до 3.3.0 не очищают символы, запрещенные спецификацией XML 1.0. https://www.w3.org/TR/xml/#charsets в ключах и значениях свойств MDC, а также поле идентификатора, которое …
Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.3.0 аутентификация общего ресурса ссылок Vikunja (GetLinkShareFromClaims в pkg/models/link_sharing.go) создает объекты авторизации полностью из утверждений JWT без …
Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.3.0 обработчик обратного вызова OIDC выдает полный токен JWT без проверки, включена ли у соответствующего пользователя двухфакторная …