База данных уязвимостей CVE

Connect-CMS — система управления контентом. В версиях серии 1.x до 1.41.0 включительно и версиях серии 2.x до 2.41.0 включительно аутентифицированный пользователь может иметь возможность выполнять произвольный код в плагине Code …

systemd, системный и сервисный менеджер (как PID 1), выполняет утверждение и приостанавливает выполнение, когда непривилегированный вызов API IPC выполняется с ложными данными. В версии v249 и старше эффектом является не …

Версии OpenClaw до 2026.3.7 содержат уязвимость выхода из песочницы в команде /acp spawn, которая позволяет авторизованным изолированным сеансам инициализировать среду выполнения ACP на стороне хоста. Злоумышленники могут обойти ограничения песочницы, …

Версии OpenClaw до 2026.3.7 содержат уязвимость обхода шлюза утверждения оболочки в обработке диспетчерской оболочки system.run, которая позволяет злоумышленникам пропускать требования утверждения оболочки оболочки. Классификатор утверждения и планировщик выполнения применяют разные …

Неполное исправление CVE-2024-47778 позволяет выполнять чтение за пределами допустимого диапазона в функции gst_wavparse_adtl_chunk(). В патче добавлена ​​проверка размера lsize + 8 > size, но она не учитывает GST_ROUND_UP_2(lsize), используемый при …

Census CSWeb 8.0.1 обеспечивает доступ к «приложению/конфигурации» через HTTP в некоторых развертываниях. Удаленный злоумышленник, не прошедший проверку подлинности, может отправлять запросы к файлам конфигурации и получать утекшие секреты. Исправлено в …

Census CSWeb 8.0.1 позволяет сохранять межсайтовые сценарии в полях, заданных пользователем. Удаленный злоумышленник, прошедший проверку подлинности, может сохранить вредоносный код JavaScript, который выполняется в браузере жертвы. Исправлено в версии 8.1.0 …

Census CSWeb 8.0.1 позволяет загружать произвольные файлы. Удаленный злоумышленник, прошедший проверку подлинности, может загрузить вредоносный файл, что может привести к удаленному выполнению кода. Исправлено в версии 8.1.0 альфа.

Census CSWeb 8.0.1 позволяет вводить произвольный путь к файлу. Удаленный злоумышленник, прошедший проверку подлинности, может получить доступ к непредусмотренным файловым каталогам. Исправлено в версии 8.1.0 альфа.

В 648540858 wvp-GB28181-pro до версии 2.7.4 обнаружена уязвимость безопасности. Затронута функция selectAll файла src/main/java/com/genersoft/iot/vmp/streamProxy/dao/provider/StreamProxyProvider.java компонента Stream Proxy Query Handler. Результатом манипуляции является SQL-инъекция. Атака может быть запущена удаленно. Эксплойт был …