База данных уязвимостей CVE

WeGIA — веб-менеджер благотворительных организаций. До версии 3.6.9 уязвимость Open Redirect была обнаружена в конечной точке /WeGIA/controle/control.php приложения WeGIA, в частности, через параметр nextPage в сочетании с metodo=listarId и nomeClasse=IsaidaControle. …

WeGIA — веб-менеджер благотворительных организаций. До версии 3.6.9 WeGIA (Web-геренсиадор для учреждений помощи) содержал уязвимость внедрения SQL в dao/memorando/DespachoDAO.php. Параметр id_memorando извлекается из $_REQUEST без проверки и напрямую интерполируется в …

Mobile Next — это MCP-сервер для мобильной разработки и автоматизации. До версии 0.0.50 инструмент mobile_open_url в mobile-mcp передает предоставленные пользователем URL-адреса непосредственно в систему намерений Android без какой-либо проверки схемы, …

goshs — это SimpleHTTPServer, написанный на Go. До версии 2.0.0-beta.3 каталог многочастной загрузки POST не очищался. Эта уязвимость исправлена ​​в версии 2.0.0-beta.3.

goshs — это SimpleHTTPServer, написанный на Go. До версии 2.0.0-beta.3 при загрузке PUT в httpserver/updown.go не проводилась очистка пути. Эта уязвимость исправлена ​​в версии 2.0.0-beta.3.

Bulwark Webmail — это автономный клиент веб-почты для Stalwart Mail Server. До версии 1.4.11 функция getClientIP() в lib/admin/session.ts доверяла первой (крайней левой) записи заголовка X-Forwarded-For, которая полностью контролируется клиентом. Злоумышленник …

Bulwark Webmail — это автономный клиент веб-почты для Stalwart Mail Server. До версии 1.4.11 обратный прокси-сервер (proxy.ts) устанавливал заголовок Content-Security-Policy-Report-Only вместо принудительного заголовка Content-Security-Policy. Это означает, что атаки с использованием …

Bulwark Webmail — это автономный клиент веб-почты для Stalwart Mail Server. До версии 1.4.11 проверка подписи S/MIME не проверяла цепочку доверия сертификатов (checkChain: false). Любое электронное письмо, подписанное самозаверяющим или …

@hapi/content предоставил анализ заголовков HTTP Content-*. Все версии @hapi/content до 6.0.0 уязвимы к отказу в обслуживании с использованием регулярных выражений (ReDoS) через созданные значения HTTP-заголовка. Три регулярных выражения, используемые для …

lichess.org — это навсегда бесплатный шахматный сервер без рекламы и с открытым исходным кодом. Любой одобренный стример может внедрить произвольный HTML-код в /streamer и виджет «Прямые трансляции» на главной странице, …