База данных уязвимостей CVE

В OpenBMB XAgent 1.0.0 обнаружена ошибка. Затронутым элементом является функция FunctionHandler.handle_tool_call из файла XAgent/function_handler.py компонента API Key Handler. Эта манипуляция аргументом api_key приводит к попаданию конфиденциальной информации в файлы журналов. …

Уязвимость была обнаружена в Shenzhen Ruiming Technology Streamax Crocus 1.3.44. Затронутый элемент — это неизвестная функция файла /DevicePrint.do?Action=ReadTask компонента «Обработчик параметров». Манипулирование аргументом State приводит к SQL-инъекции. Атака может быть …

Уязвимость была обнаружена в Shenzhen Ruiming Technology Streamax Crocus 1.3.44. Это влияет на неизвестную функцию файла /OperateStatistic.do. Манипулирование аргументом VehicleID приводит к внедрению sql. Атака может быть запущена удаленно. Эксплойт …

В mingSoft MCMS до 5.5.0 обнаружена уязвимость безопасности. Затронут список функций файла net/mingsoft/cms/action/web/ContentAction.java конечной точки списка веб-контента компонента. Манипуляция приводит к sql-инъекции. Атака может быть инициирована удаленно. Эксплойт был раскрыт …

Обнаружена слабость в mingSoft MCMS до версии 5.5.0. Эта проблема затрагивает функцию catchImage файла net/mingsoft/cms/action/BaseAction.java конечной точки редактора компонента. Выполнение манипуляции с аргументом catchimage может привести к подделке запроса на …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно `isSSRFSafeURL()` проверяет URL-адреса на соответствие частным/зарезервированным диапазонам IP-адресов перед их извлечением, но `url_get_contents()` следует за HTTP-перенаправлениями без …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `save.json.php` плагина AI загружает объекты ответов AI с использованием контролируемого злоумышленником параметра `$_REQUEST['id']` без проверки …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка API `get_api_video_password_is_correct` позволяет любому неаутентифицированному пользователю проверить, верен ли данный пароль для любого видео, защищенного …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно три конечные точки `list.json.php` в плагине Scheduler не имеют никакой проверки аутентификации, в то время как каждая …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `objects/playlistsVideos.json.php` возвращает полное видеосодержимое любого списка воспроизведения по идентификатору без какой-либо проверки подлинности или авторизации. …