База данных уязвимостей CVE

Нарушенная авторизация на уровне объекта (BOLA) в конечной точке /Contact/Persons/PersonController.php Webkul Krayin CRM v2.2.x позволяет аутентифицированным злоумышленникам произвольно читать, изменять и безвозвратно удалять любые контакты, принадлежащие другим пользователям, посредством предоставления …

Нарушенная авторизация на уровне объекта (BOLA) в конечной точке /Controllers/Lead/LeadController.php Webkul Krayin CRM v2.2.x позволяет аутентифицированным злоумышленникам произвольно читать, изменять и безвозвратно удалять любые интересы, принадлежащие другим пользователям, посредством предоставления …

Нарушенная авторизация на уровне объекта (BOLA) в конечной точке /Settings/UserController.php Webkul Krayin CRM v2.2.x позволяет прошедшим проверку подлинности злоумышленникам произвольно сбрасывать пароли пользователей и выполнять полный захват учетной записи путем …

Было обнаружено, что Krayin CRM v2.2.x содержит уязвимость внедрения SQL-кода через параметр rotten_lead в /Lead/LeadDataGrid.php.

Подделка запросов на стороне сервера (SSRF) в компоненте /settings/webhooks/create Webkul Krayin CRM v2.2.x позволяет злоумышленникам сканировать внутренние ресурсы посредством предоставления созданного POST-запроса.

Уязвимость загрузки произвольного файла с проверкой подлинности в конечной точке /admin/tinymce/upload Webkul Krayin CRM v2.2.x позволяет злоумышленникам выполнять произвольный код путем загрузки созданного PHP-файла.

CWE-400 Существует уязвимость неконтролируемого потребления ресурсов, которая может привести к чрезмерному созданию zip-файла и отказу в обслуживании, когда пользователь веб-администратора заполняет систему запросами POST /helpabout.

CWE-116 Существует уязвимость «Неправильное кодирование или экранирование выходных данных», которая может привести к внедрению журнала и подделке журнала, когда злоумышленник изменяет полезную нагрузку запроса проверки POST /j_security.

CWE-1284 Существует уязвимость неправильной проверки указанного количества входных данных, которая может привести к усечению журнала событий и данных, влияющему на целостность журнала, когда пользователь веб-администратора изменяет полезную нагрузку запроса POST/logsettings.

CWE-307 Неправильное ограничение чрезмерных попыток аутентификации Существует уязвимость, которая позволяет злоумышленнику получить доступ к учетной записи пользователя, выполнив произвольное количество попыток аутентификации с разными учетными данными в последовательности запросов к …