База данных уязвимостей CVE

Уязвимость хранимого межсайтового скриптинга (XSS) существует в системе онлайн-заказа еды SourceCodester версии 1.0 в модуле управления категориями на панели администратора. Приложению не удается должным образом очистить вводимые пользователем данные в …

Модуль автоматического одобрения команд в CodeRider-Kilo содержит уязвимость внедрения команд ОС, что делает неэффективным механизм безопасности белого списка. Уязвимость возникает из-за неправильного использования несовместимого анализатора команд (библиотеки кавычек оболочки на …

Wazuh authd содержит уязвимость переполнения буфера кучи, которая позволяет злоумышленникам вызывать повреждение памяти и искажение данных кучи, отправляя специально созданные входные данные. Злоумышленники могут использовать эту уязвимость для запуска состояния …

Конечная точка POST /api/v2/files не очищает параметр filename из данных составной формы, что позволяет злоумышленнику записывать файлы в произвольные места файловой системы, используя последовательности обхода пути ('../').

Конечная точка «/api/v1/files/images/{flow_id}/{file_name}» обслуживает файлы SVG с типом контента «image/svg+xml» без очистки их содержимого. Поскольку файлы SVG могут содержать встроенный JavaScript, злоумышленник может загрузить вредоносный SVG, который выполняет произвольный JavaScript …

Конечные точки «/logs» и «/logs-stream» в маршрутизаторе журналов позволяют любому авторизованному пользователю читать полный буфер журнала приложения. Этим конечным точкам требуется только базовая аутентификация («get_current_active_user») без каких-либо проверок привилегий (например, …

Конечная точка '/api/v1/files/images/{flow_id}/{file_name}' не применяет никаких проверок аутентификации или авторизации, позволяя любому неаутентифицированному пользователю загружать изображения, принадлежащие любому потоку, зная (или угадывая) идентификатор потока и имя файла.

В Clickedu была обнаружена отраженная уязвимость межсайтового скриптинга (XSS). Эта уязвимость позволяет злоумышленнику выполнить код JavaScript в браузере жертвы, отправив ему вредоносный URL-адрес с конечной точкой «/user.php/». Эту уязвимость можно …

Обработчик веб-перехватчика интеграции Twilio принимает любой запрос POST без проверки «X-Twilio-Signature» Twilio. При обработке мультимедийных сообщений он извлекает управляемые пользователем URL-адреса (параметры MediaUrlN) с помощью HTTP-запросов, которые включают учетные данные …

Уязвимость раскрытия локальных файлов в компоненте обработки XInclude в Inkscape версий 1.1 и более ранних версий 1.3 позволяет удаленному злоумышленнику читать локальные файлы через созданный SVG-файл, содержащий вредоносные теги xi:include.