База данных уязвимостей CVE

PraisonAI — это система мультиагентных команд. До версии 4.5.115 функция create_agent_centric_tools() возвращает инструменты (например, acp_create_file), которые обрабатывают содержимое файла с использованием рендеринга шаблона. Когда пользовательский ввод из агента.start() передается непосредственно …

PraisonAI — это система мультиагентных команд. До версии 4.5.115 метод AgentService.loadAgentFromFile использовал библиотеку js-yaml для анализа файлов YAML без отключения опасных тегов (таких как !!js/function и !!js/undefined). Это позволяет злоумышленнику …

FrontMCP — это платформа TypeScript для протокола контекста модели (MCP). До версии 2.3.0 библиотека mcp-from-openapi использовала @apidevtools/json-schema-ref-parser для разыменования указателей $ref в спецификациях OpenAPI без настройки каких-либо ограничений URL-адресов или …

OpenTelemetry-Go — это реализация OpenTelemetry на Go. В версиях с 1.15.0 по 1.42.0 исправление для CVE-2026-24051 изменило команду Darwin ioreg на использование абсолютного пути, но оставило команду BSD kenv с …

OpenTelemetry-Go — это реализация OpenTelemetry на Go. До версии 1.43.0 экспортеры HTTP otlp (трассировки/метрики/журналы) считывали полное тело ответа HTTP в байты в памяти. Буфер без ограничения размера. Это можно использовать …

Remnawave Backend — это серверная часть для прокси-сервера Remnawave и решения для управления пользователями. До версии 2.7.5 сбой в логике регистрации устройств HWID позволял аутентифицированному пользователю обойти настроенное ограничение для …

LiquidJS — это шаблонизатор, совместимый с Shopify/GitHub Pages, на чистом JavaScript. До версии 10.25.3 Liquidjs 10.25.0 документировал root как ограничение имен файлов, передаваемых в renderFile() и parseFile(), но загрузка файлов …

LiquidJS — это шаблонизатор, совместимый с Shopify/GitHub Pages, на чистом JavaScript. До версии 10.25.4 фильтр sort_natural обходил параметр безопасности ownPropertyOnly, позволяя авторам шаблонов извлекать значения свойств, унаследованных от прототипа, посредством …

LiquidJS — это шаблонизатор, совместимый с Shopify/GitHub Pages, на чистом JavaScript. До версии 10.25.3 для {% include %}, {% render %} и {% Layout %} LiquidJS проверяет, находится ли путь-кандидат …

immich — это высокопроизводительное автономное решение для управления фотографиями и видео. До версии 2.7.0 хранимый межсайтовый скриптинг (XSS) в средстве просмотра панорам 360° позволял любому авторизованному пользователю выполнять произвольный код …