База данных уязвимостей CVE

Chartbrew — это веб-приложение с открытым исходным кодом, которое может напрямую подключаться к базам данных и API и использовать данные для создания диаграмм. До версии 4.8.5 Chartbrew позволял аутентифицированным пользователям …

При вызове base64.b64decode() или связанных с ним функций процесс декодирования останавливается после обнаружения первого дополненного четырехугольника, независимо от того, есть ли еще информация для обработки. Это может привести к принятию …

Chamilo LMS — это система управления обучением. До версий 1.11.38 и 2.0.0-RC.3 несколько файлов использовали simplexml_load_string() без защиты XXE. С флагом LIBXML_NOENT можно читать произвольные файлы сервера. Эта уязвимость исправлена …

Chamilo LMS — это система управления обучением. До версии 2.0.0-RC.3 любой прошедший проверку подлинности пользователь (включая ROLE_STUDENT) мог перечислить всех пользователей платформы и получить доступ к личной информации (электронная почта, …

Chamilo LMS — это система управления обучением. До версий 1.11.38 и 2.0.0-RC.3 ключи REST API генерируются с использованием md5(time() + (user_id * 5) - rand(10000, 10000)). Вызов rand(10000, 10000) всегда …

Chamilo LMS — это система управления обучением. До версии 1.11.38 конечная точка REST API get_user_info_from_username возвращала личную информацию (адрес электронной почты, имя, фамилия, идентификатор пользователя, активный статус) любого пользователя любому …

Chamilo LMS — это система управления обучением. До версий 1.11.38 и 2.0.0-RC.3 механизм сброса пароля по умолчанию генерирует токены с использованием sha1($email) без случайного компонента, без срока действия и ограничения …

Chamilo LMS — это система управления обучением. До версии 1.11.38 любой прошедший проверку подлинности пользователь с ключом REST API мог изменить свое собственное поле статуса через конечную точку update_user_from_username. Студент …

Chamilo LMS — это система управления обучением. До версии 1.11.38 файлы шаблонов Twig (.tpl) в /main/template/default/ были доступны напрямую без аутентификации через запросы HTTP GET. Эти шаблоны раскрывают внутреннюю логику …

Chamilo LMS — это система управления обучением. До версии 1.11.38 любой прошедший аутентификацию пользователь (включая студентов) мог записывать произвольный контент в файлы на сервере через конечную точку BigUpload. Ключевой параметр …