Уязвимость использования после освобождения в Media Decoder при работе с медиафайлами, когда некоторые события срабатывают после освобождения медиаэлементов из памяти. Эта уязвимость затрагивает Thunderbird < 45.7, Firefox ESR < 45.7 и Firefox < 51.

A flaw has been found in Abdullah-Hasan-Sajjad Online-School up to f09dda77b4c29aa083ff57f4b1eb991b98b68883. This affects an unknown part of the file /studentLogin.php. This manipulation of the argument Email causes sql injection. The attack is possible to be carried out remotely. The exploit has been published and may be used. This product adopts a rolling release strategy to maintain continuous delivery The vendor was contacted early about this disclosure but did not respond in any way.

Переполнение буфера в RealNetworks RealPlayer до версии 15.0.6.14, RealPlayer SP 1.0 до 1.1.5 и Mac RealPlayer до версии 12.0.1.1750 позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через специально созданный файл RealMedia, что является другой уязвимостью, чем CVE-2012-2409.

Плагин Filestack Official для WordPress уязвим для отраженного межсайтового скриптинга через параметры 'fstab' и 'filestack_options' во всех версиях до 2.0.0 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые выполняются, если им удастся обманом заставить пользователя выполнить действие, например, щелкнуть ссылку.

Функция mintToken реализации смарт-контракта для MktCoin, токена Ethereum, имеет переполнение целого числа, которое позволяет владельцу контракта установить баланс произвольного пользователя на любое значение.

Microweber CMS 2.0 has Weak Password Requirements. The application does not enforce minimum password length or complexity during password resets. Users can set extremely weak passwords, including single-character passwords, which can lead to account compromise, including administrative accounts.

Неправильная нейтрализация входных данных во время генерации веб-страницы (межсайтовый скриптинг) уязвимость в GiveWP Give позволяет использовать Reflected XSS. Эта проблема затрагивает Give: от n/a до 3.3.1.

Уязвимость SQL-инъекции в lecture.php в Graphiks MyForum 1.3, когда register_globals включен, позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр id.

Переполнение буфера в функции put_words в subs.c для abcm2ps 3.7.20 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданные ABC-файлы.

A flaw has been found in PHPGurukul Online Course Registration 3.1. This affects an unknown function of the file /admin/session.php. This manipulation of the argument sesssion causes sql injection. The attack can be initiated remotely. The exploit has been published and may be used.

Функция истории браузера в Microsoft Internet Explorer 5.5–6.0 позволяет удаленным злоумышленникам выполнять произвольный скрипт от имени других пользователей и красть информацию аутентификации через cookie-файлы, внедряя JavaScript в URL-адрес, который выполняется, когда пользователь нажимает кнопку "Назад".

AnySupport (решение для удаленной поддержки) до 2019.3.21.0 допускает обход каталогов из-за функции swprintf для копирования файла с управляющего ПК на клиентский ПК. Это может привести к произвольному выполнению файлов.

Множественные неуказанные уязвимости в Mozilla Firefox 3.x до 3.0.2 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через векторы, связанные с механизмом макета и (1) нулевым значением переменной "this" в функции nsContentList::Item; (2) взаимодействием расширения indic IME, выбора языка хинди и символа "g"; и (3) взаимодействием функции nsFrameList::SortByContentOrder с определенной недостаточной защитой встроенных фреймов.

Уязвимость в компоненте Oracle Communications Unified Inventory Management Oracle Communications Applications (подкомпонент: Portal). Поддерживаемые версии, подверженные уязвимости: 7.2.4.2.x и 7.3. Легко эксплуатируемая уязвимость позволяет злоумышленнику с низким уровнем привилегий, имеющему сетевой доступ через HTTP, скомпрометировать Oracle Communications Unified Inventory Management. Успешные атаки этой уязвимости могут привести к несанкционированному обновлению, вставке или удалению доступа к некоторым данным, доступным для Oracle Communications Unified Inventory Management, а также к несанкционированному доступу на чтение к подмножеству данных, доступных для Oracle Communications Unified Inventory Management. Базовая оценка CVSS 3.0 составляет 5.4 (воздействие на конфиденциальность и целостность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).

Функция mintToken реализации смарт-контракта для yasudem, токена Ethereum, имеет переполнение целого числа, которое позволяет владельцу контракта установить баланс произвольного пользователя на любое значение.

Функция Threat Detection на устройствах Cisco Adaptive Security Appliances (ASA) серии 5500 и ASA Services Module (ASASM) на устройствах Cisco Catalyst серии 6500 с программным обеспечением с 8.0 по 8.2 до 8.2(5.20), 8.3 до 8.3(2.29), 8.4 до 8.4(3), 8.5 до 8.5(1.6) и 8.6 до 8.6(1.1) позволяет удаленным злоумышленникам вызывать отказ в обслуживании (перезагрузка устройства) через (1) IPv4 или (2) IPv6-пакеты, которые вызывают событие shun, также известная как Bug ID CSCtw35765.

Неуказанная уязвимость в компоненте Enterprise Manager Base Platform в Oracle Database Server 10.2.0.3, 10.2.0.4, 10.2.0.5 и 11.1.0.7, а также Oracle Enterprise Manager Grid Control позволяет удаленным злоумышленникам влиять на конфиденциальность и целостность через неизвестные векторы, связанные с Security Framework.

Xen 4.2.x и 4.3.x, при использовании Intel VT-d для сквозной передачи PCI, неправильно очищает TLB после очистки существующей записи таблицы трансляций, что позволяет локальным администраторам гостевой системы вызывать отказ в обслуживании или получать привилегии через неуказанные векторы, связанные с "инвертированным логическим параметром".

Уязвимость SQL-инъекции в view_album.php в SelectaPix 1.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через неизвестные векторы. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; подробности получены исключительно из сторонних источников.

Уязвимость междоменного доступа в MYweb4net Browser 3.8.8.0 позволяет удаленным злоумышленникам получать доступ к конфиденциальной информации с других доменов через тег object с параметром data, который ссылается на ссылку на исходном сайте злоумышленника, указывающую HTTP-заголовок Location, который ссылается на целевой сайт, что затем делает этот контент доступным через атрибут outerHTML объекта, аналогичная уязвимость CVE-2006-3280.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2006-2592. Reason: This candidate is a duplicate of CVE-2006-2592. Notes: All CVE users should reference CVE-2006-2592 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage