База данных уязвимостей CVE

PraisonAI — это система мультиагентных команд. До версии 1.5.113 конечная точка публикации реестра рецептов PraisonAI записывала загруженные пакеты рецептов в путь файловой системы, полученный из внутреннего манифеста пакета.json, прежде чем …

PraisonAI — это система мультиагентных команд. До версии 1.5.113 функция установки шаблонов PraisonAI уязвима для атаки произвольной записи файлов «Zip Slip». При загрузке и извлечении архивов шаблонов из внешних источников …

PraisonAI — это система мультиагентных команд. До версии 1.5.113 поток извлечения реестра рецептов PraisonAI извлекает контролируемые злоумышленником tar-архивы .praison с помощью tar.extractall() и не проверяет пути к элементам архива перед …

PraisonAI — это система мультиагентных команд. До версии 1.5.113 функция Action Orchestrator содержала уязвимость Path Traversal, которая позволяла злоумышленнику (или скомпрометированному агенту) записывать произвольные файлы за пределами настроенного каталога рабочей …

PraisonAI — это система мультиагентных команд. До версии 1.5.113 _validate_path() сначала вызывает os.path.normpath(), который сжимает последовательности .., а затем проверяет наличие «..» в нормализованном виде. Поскольку .. уже свернута, проверка …

Frappe — это полнофункциональная платформа веб-приложений. До версий 16.14.0 и 15.104.0 Frappe использовал SQL-инъекцию в Bulk_update. Эта уязвимость исправлена ​​в версиях 16.14.0 и 15.104.0.

Coursevault-preview — это утилита для предварительного просмотра файлов материалов курса из настроенного каталога. Версии Coursevault-Preview до 0.1.1 содержат уязвимость обхода пути в утилитеsolveSafe. При проверке границ использовался String.prototype.startsWith(baseDir) по нормализованному …

Addressable — это альтернативная реализация URI, которая является частью стандартной библиотеки Ruby. Начиная с версии 2.3.0 и до версии 2.9.0 в реализации шаблона URI в Addressable два класса шаблона URI …

PolarLearn — бесплатная программа обучения с открытым исходным кодом. В версии 0-PRERELEASE-14 и более ранних версиях setCustomPassword(userId, пароль) и deleteUser(userId) в модуле управления учетными записями использовали инвертированную проверку администратора. Из-за …

QuickDrop — это простое в использовании приложение для обмена файлами. До версии 1.5.3 в конечной точке предварительного просмотра файлов существовала сохраненная уязвимость XSS. Приложение позволяет загружать файлы SVG через конечную …