База данных уязвимостей CVE

Tolgee — платформа локализации с открытым исходным кодом. До версии 3.166.3 анализаторы XML, используемые для импорта XML-ресурсов Android (.xml) и файлов .resx, не отключали обработку внешних объектов. Аутентифицированный пользователь, который …

Vim — текстовый редактор командной строки с открытым исходным кодом. С версии 9.1.0011 до версии 9.2.0137 компилятор регулярных выражений NFA Vim при обнаружении коллекции, содержащей объединяющий символ в качестве конечной …

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.12 и 8.6.38 злоумышленник, не прошедший проверку подлинности, мог захватить …

Cap'n Proto — это формат обмена данными и система RPC, основанная на возможностях. До версии 1.4.0 при использовании Transfer-Encoding: chunked, если размер фрагмента анализировался до значения 2^64 или больше, он …

Cap'n Proto — это формат обмена данными и система RPC, основанная на возможностях. До версии 1.4.0 отрицательное значение Content-Length конвертировалось в беззнаковое, рассматриваясь вместо этого как невероятно большая длина. Теоретически …

Undici допускает дублирование заголовков HTTP Content-Length, если они предоставляются в массиве с именами, различающимися по регистру (например, Content-Length и content-length). Это приводит к созданию неверных запросов HTTP/1.1 с несколькими конфликтующими …

Уязвимость в дельте OpenSSH GSSAPI, включенная в различные дистрибутивы Linux. Эта уязвимость затрагивает исправления GSSAPI, добавляемые различными дистрибутивами Linux, и не затрагивает сам исходный проект OpenSSH. Использование sshpkt_disconnect() при ошибке, …

Graphiti — это платформа для создания и запроса графов временного контекста для агентов ИИ. Версии Graphiti до 0.28.2 содержали уязвимость внедрения Cypher в конструкцию общего фильтра поиска для бэкэндов, отличных …

Tinyauth — это сервер аутентификации и авторизации. До версии 5.0.3 конечная точка авторизации OIDC позволяет пользователям с ожидающим сеансом TOTP (пароль проверен, TOTP еще не завершен) получать коды авторизации. Злоумышленник, …

Tinyauth — это сервер аутентификации и авторизации. До версии 5.0.3 конечная точка токена OIDC не проверяет, является ли клиент, обменивающийся кодом авторизации, тем же клиентом, которому был выдан код. Злонамеренный …