База данных уязвимостей CVE

Mobile Next — это MCP-сервер для мобильной разработки и автоматизации. До версии 0.0.49 сервер @mobilenext/mobile-mcp содержал уязвимость обхода пути в инструментах mobile_save_screenshot и mobile_start_screen_recording. Параметры saveTo и output передавались непосредственно …

Changetection.io — это бесплатный инструмент обнаружения изменений веб-страниц с открытым исходным кодом. До версии 0.54.7 выражения включения `jq:` и `jqraw:` позволяют использовать встроенную функцию jq `env`, которая считывает все переменные …

Сервер MCP Azure Data Explorer — это сервер протокола контекста модели (MCP), который позволяет помощникам искусственного интеллекта выполнять запросы KQL и исследовать базы данных Azure Data Explorer (ADX/Kusto) через стандартизированные …

Express XSS Sanitizer — это промежуточное программное обеспечение Express 4.x и 5.x, которое очищает вводимые пользователем данные (в req.body, req.query, req.headers и req.params) для предотвращения атаки межсайтового скриптинга (XSS). В …

Notesnook — приложение для создания заметок. До версии 3.3.11 в Интернете/настольных компьютерах и 3.3.17 в Android/iOS сохраненный XSS в потоке рендеринга Web Clipper можно было передать на удаленное выполнение кода …

Notesnook — приложение для создания заметок. До версии 3.3.11 в Интернете и на рабочем столе уязвимость межсайтового сценария, хранящаяся в средстве просмотра сравнения истории заметок, может перерасти в удаленное выполнение …

LinkAce — это автономный архив для сбора ссылок на веб-сайты. В версиях до 2.5.3 личная заметка, прикрепленная к частной ссылке, может быть раскрыта другому аутентифицированному пользователю через веб-интерфейс. Кажется, что …

LinkAce — это автономный архив для сбора ссылок на веб-сайты. Версии до 2.5.3 блокируют прямые запросы к частным IP-литералам, но по-прежнему выполняют серверные запросы к внутренним ресурсам, когда на эти …

MCP Ruby SDK — это официальный Ruby SDK для серверов и клиентов протокола контекста модели. До версии 0.9.2 реализацияstreamable_http_transport.rb Ruby SDK содержала уязвимость перехвата сеанса. Злоумышленник, получивший действительный идентификатор сеанса, …

Happy DOM — это реализация веб-браузера на языке JavaScript без графического пользовательского интерфейса. В версиях с 15.10.0 по 20.8.7 уязвимость внедрения кода в `ECMAScriptModuleCompiler` позволяет злоумышленнику добиться удаленного выполнения кода …