База данных уязвимостей CVE

Emissary — это механизм рабочего процесса, управляемый данными, на основе P2P. До версии 8.39.0 файлы рабочих процессов GitHub Actions содержали точки внедрения оболочки, где управляемые пользователем входные данные workflow_dispatch интерполировались …

ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.0.0 во многих местах приложения ChurchCRM можно было создать ссылку, которая при посещении аутентифицированного пользователя перенаправляла бы его …

ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 6.5.3 сохраненная уязвимость межсайтового скриптинга (XSS) в редакторе заметок ChurchCRM позволяла прошедшим проверку подлинности пользователям с разрешениями на …

Strawberry GraphQL — это библиотека для создания API-интерфейсов GraphQL. Strawberry вплоть до версии 0.312.3 уязвим для обхода аутентификации на конечных точках подписки WebSocket. Устаревший обработчик подпротокола Graphql-ws не проверяет, завершено …

DoS с проверкой подлинности через CQL в Apache Cassandra 4.0, 4.1, 5.0 позволяет аутентифицированному пользователю увеличивать задержку запросов за счет повторной смены пароля. Пользователям рекомендуется выполнить обновление до версий 4.0.20, …

Утечка конфиденциальной информации в cqlsh в Apache Cassandra 4.0 позволяет получить доступ к конфиденциальной информации, например паролям, из ранее выполненной команды cqlsh через доступ к локальному файлу ~/.cassandra/cqlsh_history . Пользователям …

Повышение привилегий в Apache Cassandra 5.0 в среде mTLS с использованием MutualTlsAuthenticator позволяет пользователю, имеющему только разрешение CREATE, связать свой собственный идентификатор сертификата с произвольной ролью. включая роль суперпользователя, и …

Версии Windmill CE и EE с 1.276.0 по 1.603.2 содержат уязвимость внедрения SQL в функции управления владением папками, которая позволяет злоумышленникам, прошедшим проверку подлинности, внедрить SQL через параметр владельца. Злоумышленник …

Версии Windmill с 1.56.0 по 1.614.0 содержат недостающую уязвимость авторизации, которая позволяет пользователям с ролью оператора выполнять запрещенные действия по созданию и изменению объектов через внутренний API. Несмотря на то, …

yaffa v2.0.0 уязвим для межсайтового скриптинга (XSS). Злоумышленник может внедрить вредоносный код JavaScript в функцию «Добавить группу учетных записей» на странице группы учетных записей, что позволит выполнять произвольный сценарий в …