База данных уязвимостей CVE

Плагин Image Alt Text Manager для WordPress уязвим к хранимому межсайтовому скриптингу через заголовок сообщения во всех версиях до 1.8.2 включительно. Это связано с недостаточной очисткой ввода и экранированием вывода …

Плагин Keep Backup Daily для WordPress уязвим к ограниченному обходу пути во всех версиях до 2.1.1 включительно через действие AJAX `kbd_open_upload_dir`. Это связано с недостаточной проверкой параметра kbd_path, который очищается …

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 нештатный пользователь с повышенным членством в группе мог получить доступ к удаленным сообщениям, принадлежащим любому …

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 неаутентифицированный злоумышленник может заставить легитимную страницу авторизации Discourse отображать домен, контролируемый злоумышленником, что облегчает атаки …

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 пользователи с разрешениями на редактирование тегов могли редактировать и создавать синонимы для тегов, скрытых в …

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 неаутентифицированные пользователи могли определить, является ли конкретный пользователь членом частной группы, наблюдая за изменениями в …

Discourse — это дискуссионная платформа с открытым исходным кодом. До версий 2026.3.0-latest.1, 2026.2.1 и 2026.1.2 злоумышленник может предоставить доступ к теме личного сообщения через приглашения даже после того, как он …

WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 конечная точка listFiles.json.php принимала параметр POST path и передавала его непосредственно в glob(), не ограничивая путь разрешенным базовым каталогом. …

WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 функция run() плагина планировщика в плагине/Scheduler/Scheduler.php вызывает url_get_contents() с настраиваемым администратором callbackURL, который проверяется только с помощью isValidURL() (проверка …

Системы WebCTRL, которые обмениваются данными через BACnet, унаследовали недостаток протокола. аутентификации сетевого уровня. WebCTRL не реализует дополнительные проверка трафика BACnet, чтобы злоумышленник, имеющий доступ к сети, мог подделывать пакеты BACnet, …