QuickTime for Java в Apple Quicktime до версии 7.2 неправильно проверяет разрешения, что позволяет удаленным злоумышленникам отключать средства контроля безопасности и выполнять произвольный код через специально созданные Java-апплеты.

Macrovideo v380pro v1.4.97 передает идентификатор устройства и пароль при совместном использовании устройства.

В Musicshelf 1.0/1.1 на Android обнаружена уязвимость, классифицированная как проблематичная. Эта уязвимость затрагивает неизвестную функциональность файла io\fabric\sdk\android\services\network\PinningTrustManager.java компонента SHA-1 Handler. Манипуляция приводит к хешированию пароля с недостаточными вычислительными усилиями. Атаку можно начать на физическом устройстве. Сложность атаки довольно высока. Эксплуатация представляется затруднительной. Эксплойт был обнародован и может быть использован. Этой уязвимости был присвоен идентификатор VDB-256321.

Веб-страница администрирования для модема Ericsson HM220dp ADSL не требует аутентификации, что может позволить удаленным злоумышленникам получить доступ со стороны LAN.

В Game Manager Service существует возможность определить, установлено ли приложение, без разрешений на запрос, из-за раскрытия информации о побочном канале. Это может привести к локальному раскрытию информации без необходимости дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем.

Переполнение стекового буфера в vshttpd (aka ioos) во встроенном ПО HooToo Trip Mate 6 (TM6) 2.000.030 и более ранних версий позволяет удаленным не прошедшим проверку подлинности злоумышленникам управлять счетчиком программ через специально созданный параметр fname GET-запроса.

Rejected reason: This is unused.

IBM Sterling B2B Integrator 5.2 уязвим для XML External Entity Injection (XXE) атаки при обработке XML данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 123663.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate is unused by its CNA. Notes: none.

Множественные межсайтовые скриптовые (XSS) уязвимости в All In One Control Panel (AIOCP) 1.3.007 и более ранних версиях позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) topid, (2) forid и (3) catid в code/cp_forum_view.php; (4) параметр choosed_language в cp_dpage.php; (5) параметр orderdir в cp_links_search.php; (6) параметр order_field в (a) cp_show_ec_products.php и (b) cp_users_online.php; и поля (7) signature и (8) fiscal code в профиле пользователя.

Admin/admin.php в phpBazar 2.1.0 и более ранних версиях позволяет удаленным злоумышленникам обойти процесс аутентификации и получить несанкционированный доступ к административному разделу, установив для параметра action значение edit_member, а для параметра value - значение 1.

Ошибка индекса массива в VLC media player 0.9.2 позволяет удаленным злоумышленникам перезаписывать произвольную память и выполнять произвольный код через файл плейлиста XSPF с отрицательным тегом идентификатора, который проходит сравнение со знаком.

Уязвимость неправильной нейтрализации ввода при генерации веб-страниц ('Cross-site Scripting') в NotFound Stray Random Quotes позволяет осуществлять отраженный XSS. Эта проблема затрагивает Stray Random Quotes: от n/a до 1.9.9.

Уязвимость выполнения кода SQL-инъекции была выявлена в HPE Intelligent Management Center (IMC) PLAT более ранней версии, чем 7.3 E0506P09.

В ThreatQuotient ThreatQ до версии 5.29.3 аутентифицированные пользователи могут выполнять произвольные команды, отправляя специально созданный запрос в конечную точку API.

Утечка памяти в Cisco Adaptive Security Appliances (ASA) 5500 Series и PIX Security Appliances 8.0 до 8.0(4) и 8.1 до 8.1(2) позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти) через неуказанную последовательность пакетов, связанную с "кодом инициализации для аппаратного криптоускорителя".

Плагин wp-google-map-plugin версий до 2.3.10 для WordPress имеет CSRF в функции добавления/редактирования категории.

Сообщается об уязвимости внедрения команд, затрагивающей определенные версии Video Station. В случае эксплуатации эта уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды. Эта проблема затрагивает: QNAP Systems Inc. Video Station версий до 5.5.4 на QTS 4.5.2; версий до 5.5.4 на QuTS hero h4.5.2; версий до 5.5.4 на QuTScloud c4.5.4. Эта проблема не затрагивает: QNAP Systems Inc. Video Station на QTS 4.3.6; на QTS 4.3.3.

Уязвимость межсайтового скриптинга (XSS) в пакете htp PL/SQL для Oracle 9i Application Server (9iAS) позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр cbuf для htp.print.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none

В XYZScripts Contact Form Manager Plugin была обнаружена уязвимость. Она была оценена как проблематичная. Эта проблема затрагивает некоторую неизвестную функциональность. Манипуляция приводит к базовому межсайтовому скриптингу. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован.