База данных уязвимостей CVE

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно функцию `isSSRFSafeURL()` в AVideo можно обойти, используя IPv6-адреса, сопоставленные с IPv4 (`::ffff:x.x.x.x`). Неаутентифицированная конечная точка `plugin/LiveLinks/proxy.php` использует …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка saveSort.json.php плагина Gallery передает несанкционированный пользовательский ввод из значений массива $_REQUEST['sections']` непосредственно в функцию PHP …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно многочисленные уязвимости в плагине AVideo CloneSite объединяются в цепочку, позволяя злоумышленнику, не прошедшему аутентификацию, добиться удаленного выполнения …

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно POST /objects/aVideoEncoder.json.php принимает управляемый запросчиком параметр chunkFile, предназначенный для поэтапной загрузки фрагментов. Вместо того, чтобы ограничивать этот …

Ошибка была обнаружена в библиотеке GNU Binutils BFD, широко используемом компоненте для обработки двоичных файлов, таких как объектные файлы и исполняемые файлы. Проблема возникает при обработке специально созданных объектных файлов …

Уязвимость была обнаружена в kalcaddle kodbox 1.64. Затронутым элементом является функция PathDriverUrl файла /workspace/source-code/app/controller/explorer/editor.class.php компонента fileGet Endpoint. Такое манипулирование путем аргумента приводит к подделке запроса на стороне сервера. Атака может …

Резюме Когда в TrustProxy настроена функция ограничительного доверия (например, определенный IP-адрес, например TrustProxy: '10.0.0.1', подсеть, количество переходов или пользовательская функция), геттеры request.protocol и request.host считывают заголовки X-Forwarded-Proto и X-Forwarded-Host из …

WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 уязвимость, связанная с внедрением SQL без аутентификации, существовала в `objects/category.php` в методе `getAllCategories()`. Параметр запроса `doNotShowCats` очищается только путем …

WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 уязвимость подделки запроса на стороне сервера (SSRF) существовала в `plugin/Live/standAloneFiles/saveDVR.json.php`. Когда плагин AVideo Live развертывается в автономном режиме (предполагаемая …

WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 конечная точка setPassword.json.php в плагине CustomizeUser позволяла администраторам устанавливать пароль канала для любого пользователя. Из-за логической ошибки в обработке …