База данных уязвимостей CVE

HTML-инъекцию можно выполнить в продукте, если веб-приложение не проверяет или не очищает должным образом пользовательский ввод перед его отображением на веб-странице. Из-за этого злоумышленник может вставить на страницу нежелательный HTML-код. …

В libsoup — библиотеке для обработки HTTP-запросов — обнаружена уязвимость. Эта уязвимость, известная как Use-After-Free, возникает в реализации сервера HTTP/2. Удаленный злоумышленник может воспользоваться этим, отправив специально созданные запросы HTTP/2, …

HCL Sametime уязвим из-за нарушения проверки на стороне сервера. Хотя приложение выполняет проверки входных данных на стороне клиента, они не выполняются веб-сервером. Злоумышленник может обойти эти ограничения, отправив измененные HTTP-запросы …

В Apache Airflow версий 3.1.0–3.1.7 отсутствует уязвимость авторизации в конечных точках Human-in-the-Loop (HITL) API выполнения, которая позволяет любому проверенному экземпляру задачи читать, утверждать или отклонять рабочие процессы HITL, принадлежащие любому …

Для токена сеанса Apache Airflow версий 3.1.0–3.1.7 в файлах cookie установлено значение path=/ независимо от настроенного [веб-сервера] base_url или [api] base_url. Это позволяет любому приложению, совместно размещенному в одном домене, …

Конечная точка Apache Airflow с 3.1.0 по 3.1.7 /ui/dependents возвращает полный граф зависимостей DAG без фильтрации по авторизованным идентификаторам DAG. Это позволяет аутентифицированному пользователю с разрешением только на зависимости DAG …

Apache Airflow версий 3.0.0–3.1.7 API FastAPI DagVersion listing API не применяет фильтрацию авторизации для каждой группы обеспечения доступности баз данных, когда запрос выполняется с параметром dag_id, установленным на «~» (подстановочный …

В libsoup обнаружена ошибка. Злоумышленник, контролирующий значение, используемое для установки заголовка Content-Type, может внедрить последовательность возврата каретки (CRLF) из-за неправильной очистки ввода в функции `soup_message_headers_set_content_type()`. Эта уязвимость позволяет внедрять произвольные …

В libsoup обнаружена ошибка. Удаленный злоумышленник, управляя параметром метода функции soup_message_new(), может внедрить произвольные заголовки и дополнительные данные запроса. Эта уязвимость, известная как внедрение CRLF (перевод строки возврата каретки), возникает …

В libsoup — библиотеке, используемой приложениями для отправки сетевых запросов, была обнаружена уязвимость. Эта уязвимость возникает из-за того, что libsoup не проверяет имена хостов должным образом, позволяя вводить специальные символы …