База данных уязвимостей CVE

Прошедший проверку подлинности удаленный злоумышленник с высокими привилегиями может использовать конфигурацию OpenVPN через веб-интерфейс управления ПЛК WAGO. Если пользовательские сценарии разрешены, OpenVPN может разрешить выполнение произвольных команд оболочки, позволяя злоумышленнику …

Система управления гидросистемой сохраняет конфиденциальную информацию в файл журнала. Крайне важно, что учетные данные пользователя регистрируются, что позволяет злоумышленнику получить дальнейший санкционированный доступ в систему. В сочетании с уязвимостью CVE-2026-34184 …

Apache Airflow версий с 3.0.0 по 3.1.8. Конечная точка ожидания DagRun возвращает значения результатов XCom даже пользователям, у которых есть только разрешения на чтение DAG Run, например роль средства просмотра. …

Система управления гидросистемой уязвима к внедрению SQL-кода в большинство сценариев и входных параметров. Поскольку никакой защиты не предусмотрено, злоумышленник, прошедший проверку подлинности, может ввести произвольные команды SQL, потенциально получив полный …

Система управления гидросистемой не обеспечивает авторизацию для некоторых каталогов. Это позволяет неавторизованному злоумышленнику прочитать все файлы в этих каталогах и даже выполнить некоторые из них. Крайне важно, что злоумышленник мог …

В версиях Canonical LXD с 4.12 по 6.7 функция doCertificateUpdate в lxd/certificates.go не проверяет поле Type при обработке запросов PUT/PATCH к /1.0/certificates/{fingerprint} для пользователей сертификатов TLS с ограниченным доступом, что …

В Canonical LXD до версии 6.8 путь импорта резервной копии проверяет ограничения проекта на соответствие требованиям backup/index.yaml в предоставленном tar-архиве, но создает экземпляр из backup/container/backup.yaml, отдельного файла в том же …

Канонические версии LXD с 4.12 по 6.7 содержат неполный список запретов в isVMLowLevelOptionForbidden (lxd/project/limits/permissions.go), который исключает raw.apparmor и raw.qemu.conf из набора ключей, заблокированных в соответствии с ограничением ограниченного.virtual-machines.lowlevel=block проекта. Удаленный …

В Apache DolphinScheduler существует уязвимость, связанная с раскрытием конфиденциальной информации неавторизованному лицу. Эта уязвимость может позволить неавторизованным лицам получить доступ к конфиденциальной информации, включая учетные данные базы данных. Эта проблема …

GitLab устранил проблему в GitLab CE/EE, затрагивающую все версии с 16.9.6 до 18.8.9, 18.9 до 18.9.5 и 18.10 до 18.10.3, которая могла позволить аутентифицированному пользователю вызывать непредусмотренные серверные методы через …