В TOTOLINK CA300-PoE V6.2c.884 обнаружен жестко закодированный пароль для root, который хранится в компоненте /etc/shadow.

Уязвимость операционной системы visionOS связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю обойти существующие ограничения безопасности

Проблема с аутентификацией была устранена с помощью улучшенного управления состоянием. Эта проблема исправлена в macOS Sequoia 15.4, tvOS 18.4, macOS Ventura 13.7.5, iPadOS 17.7.6, macOS Sonoma 14.7.5, iOS 18.4 и iPadOS 18.4, visionOS 2.4. Злоумышленник в локальной сети может обойти политику аутентификации [1]. Источники: - [1] https://support.apple.com/en-us/122377 - [2] https://support.apple.com/en-us/122371 - [3] https://support.apple.com/en-us/122372 - [4] https://support.apple.com/en-us/122373 - [5] https://support.apple.com/en-us/122378

Уязвимость утилиты cups-pk-helper-mechanism операционной системы «ЕМИАС» связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или иное воздействие из-за нехватки памяти

Уязвимость браузера Firefox для iOS существует из-за некорректной работы обработчиков ms-cxh и ms-cxh-ful. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации

Открытие вредоносных URL-адресов в Firefox из других приложений, таких как Safari, могло позволить злоумышленникам подделать адреса веб-сайтов, если URL-адреса использовали не-HTTP-схемы, используемые внутренне клиентом Firefox для iOS. Эта уязвимость затрагивает Firefox для iOS версии ниже 139. Источники: - [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1951558 - [2] https://www.mozilla.org/security/advisories/mfsa2025-39/

Уязвимость пакета sharutils-4.2.1 операционной системы Red Hat Linux, эксплуатация которой может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации. Эксплуатация уязвимости может быть осуществлена локально

uudecode, как доступно в пакете sharutils до версии 4.2.1, не проверяет, является ли имя файла uudecoded файлом pipe или символической ссылкой, что может позволить злоумышленникам перезаписывать файлы или выполнять команды.

Уязвимость операционной системы для тонких клиентов Dell ThinOS связана с нарушением механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Dell ThinOS 10, версии до 2508_10.0127, содержат уязвимость механизма защиты. Неавторизованный злоумышленник с удаленным доступом потенциально может использовать эту уязвимость, что приведет к обходу механизма защиты [1]. Источники: - [1] https://www.dell.com/support/kbdoc/en-us/000359619/dsa-2025-331

Уязвимость графического редактора Adobe Lightroom Classic связана с неконтролируемым элементом пути поиска. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в контексте текущего пользователя

Версия Adobe Lightroom Classic 10.0 (и более ранние) для Windows подвержена уязвимости неконтролируемого пути поиска, которая может привести к произвольному выполнению кода в контексте текущего пользователя. Для эксплуатации этой проблемы требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносный файл.

Уязвимость микропрограммного обеспечения коммутаторов Moxa EDS-510A связана с использованием криптографических алгоритмов, содержащих дефекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Неправильная проверка подписи в загрузчике патчей микрокода ROM процессора AMD может позволить злоумышленнику с правами администратора локально загрузить вредоносный микрокод процессора, что может привести к потере конфиденциальности и целостности конфиденциального гостя, работающего под AMD SEV-SNP.

Уязвимость загрузчика микрокода AMD CPU ROM микропрограммного обеспечения процессоров AMD связана с ошибками проверки криптографической подписи. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

Уязвимость инструментов разработки браузера Google Chrome связана с недостатком механизма проверки вводимых Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным с помощью созданной HTML-страницы

Недостаточное принудительное применение политики в инструментах разработчика в Google Chrome до версии 79.0.3945.79 позволяло локальному злоумышленнику получать потенциально конфиденциальную информацию из памяти процесса через специально созданную HTML-страницу.

Уязвимость файла /LogInOut.php средства межсетевого экранирования Sangfor NGAF связана с оотсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированного HTTP POST-запроса

The Sangfor Next-Gen Application Firewall version NGAF8.0.17 is vulnerable to an operating system command injection vulnerability. A remote and unauthenticated attacker can execute arbitrary commands by sending a crafted HTTP POST request to the /LogInOut.php endpoint. This is due to mishandling of shell meta-characters in the "un" parameter.

Use after free в DevTools в Google Chrome до версии 111.0.5563.64 позволял удаленному злоумышленнику, убедившему пользователя взаимодействовать с прямым пользовательским интерфейсом, потенциально использовать повреждение кучи через специально созданную HTML-страницу. (Серьезность безопасности Chromium: высокая).

Уязвимость набора инструментов для веб-разработки DevTools браузера Google Chrome связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально созданной HTML-страницы