База данных уязвимостей CVE

OpenClaw до 2026.3.13 содержит уязвимость удаленного внедрения команд в промежуточный поток вложений iMessage, которая позволяет злоумышленникам выполнять произвольные команды на настроенных удаленных хостах. Уязвимость существует потому, что несанкционированные пути удаленного …

OpenClaw версий 2026.3.7 до 2026.3.11 содержит уязвимость обхода авторизации, при которой маршруты субагента подключаемого модуля выполняют методы шлюза через клиент синтетического оператора с широкими административными возможностями. Удаленные неаутентифицированные запросы к …

Злоумышленник может инициировать использование после освобождения, отправив созданные DNS-запросы в DNSdist с помощью метода DNSQuestion:getEDNSOptions в пользовательском коде Lua. В некоторых случаях DNSQuestion:getEDNSOptions может ссылаться на версию DNS-пакета, которая была …

Злоумышленник может инициировать запись за пределами допустимого диапазона, отправив созданные ответы DNS на DNSdist с помощью методов DNSQuestion:changeName или DNSResponse:changeName в пользовательском коде Lua. В некоторых случаях перезаписанный пакет может …

Злоумышленник может обманом заставить DNSdist выделить слишком много памяти при обработке полезных данных DNS через QUIC или DNS через HTTP/3, что приведет к отказу в обслуживании. В установках с большим …

Когда опция Early_acl_drop (earlyACLDrop в Lua) отключена (по умолчанию включена) в интерфейсе DNS over HTTPs с использованием провайдера nghttp2, проверка ACL пропускается, что позволяет всем клиентам отправлять запросы DoH независимо …

Злоумышленник может инициировать чтение за пределами границ, отправив созданный пакет ответа DNS, когда пользовательский код Lua использует newDNSPacketOverlay для анализа пакетов DNS. Чтение за пределами границ может вызвать сбой, приводящий …

Когда внутренний веб-сервер включен (по умолчанию отключен), злоумышленник может обманным путем заставить администратора, вошедшего в панель мониторинга, посетить вредоносный веб-сайт и получить информацию о работающей конфигурации с панели мониторинга. Основная …

Злоумышленник может внедрить HTML-контент во внутреннюю веб-панель, отправив созданные DNS-запросы в экземпляр DNSdist, где включены динамические правила на основе домена, с помощью DynBlockRulesGroup:setSuffixMatchRule или DynBlockRulesGroup:setSuffixMatchRuleFFI.

Версии Socket Cato Networks до 25 содержат уязвимость внедрения команд, которая позволяет аутентифицированному злоумышленнику, имеющему доступ к веб-интерфейсу Socket (UI), выполнять произвольные команды операционной системы от имени пользователя root во …