База данных уязвимостей CVE

lz4_flex — это чистая реализация сжатия/распаковки LZ4 на Rust. В версиях 0.11.5 и ниже, а также 0.12.0 распаковка недопустимых данных LZ4 может привести к утечке конфиденциальной информации из неинициализированной памяти …

Kargo управляет и автоматизирует продвижение программных артефактов. В версиях с 1.4.0 по 1.6.3, с 1.7.0-rc.1 по 1.7.8, с 1.8.0-rc.1 по 1.8.11 и с 1.9.0-rc.1 по 1.9.4 этапы продвижения http и …

Компонент CTFer.io Monitoring отвечает за сбор, обработку и хранение различных сигналов (т.е. журналов, метрик и распределенных трассировок). В версиях до 0.2.2 функция sanitizeArchivePath в pkg/extract/extract.go (строки 248–254) уязвима для обхода …

Fullchain — это зонтичный проект по развертыванию готовой к использованию платформы CTF. В версиях до 0.1.1 из-за неправильно написанной NetworkPolicy злоумышленник может перейти от поврежденного приложения к любому поду за …

SiYuan — это система управления персональными знаниями. Версии 3.6.0 и ниже содержат уязвимость обхода авторизации в конечной точке /api/search/fullTextSearchBlock. Когда для параметра метода установлено значение 2, конечная точка передает вводимые …

SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 7.15.1 и 8.9.3 в потоке аутентификации SuiteCRM существовала …

SuiteCRM — это готовое к использованию на предприятии программное приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. До версий 7.15.1 и 8.9.3 в механизмах аутентификации SuiteCRM существовала …

Наборы инструментов Xerte Online Toolkits версии 3.14 и более ранних содержат уязвимость для загрузки произвольных файлов без аутентификации в функции импорта шаблонов. Проблема существует в файле /website_code/php/import/import.php, где отсутствие проверок …

astral-tokio-tar — это библиотека чтения/записи tar-архива для асинхронного Rust. В версиях 0.5.6 и более ранних версиях некорректные расширения PAX автоматически пропускались при анализе tar-архивов. Этот молчаливый пропуск (а не отклонение) …

Kysely — это типобезопасный построитель SQL-запросов TypeScript. Версии до 0.28.11 включительно имеют уязвимость внедрения SQL при компиляции пути JSON для диалектов MySQL и SQLite. ФункцияvisitJSONPathLeg() добавляет управляемые пользователем значения из …