Существует уязвимость удаленного выполнения кода из-за того, как механизм сценариев обрабатывает объекты в памяти в браузерах Microsoft, также известная как "Уязвимость повреждения памяти механизма сценариев". Это затрагивает ChakraCore, Internet Explorer 11, Microsoft Edge. Этот CVE ID уникален от CVE-2018-8353, CVE-2018-8359, CVE-2018-8371, CVE-2018-8372, CVE-2018-8373, CVE-2018-8385, CVE-2018-8389, CVE-2018-8390.

Переполнение буфера на основе стека в Microsoft Office PowerPoint 2003 SP3 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный документ PowerPoint, известный как "Уязвимость переполнения стека записи PowerPoint Viewer TextBytesAtom".

Переполнение буфера в Adobe Reader и Acrobat 9.x до версии 9.5.5, 10.x до версии 10.1.7 и 11.x до версии 11.0.03 позволяет злоумышленникам выполнять произвольный код через неуказанные векторы, что является уязвимостью, отличной от CVE-2013-2733.

Переполнение буфера в функции apache_request_headers в sapi/cgi/cgi_main.c в PHP 5.4.x до версии 5.4.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения) через длинную строку в заголовке HTTP-запроса.

Liferay Portal CE 6.2.5 позволяет удаленно выполнять команды из-за десериализации полезной нагрузки JSON.

Grafana 2.x, 3.x и 4.x до 4.6.4 и 5.x до 5.2.3 допускает обход аутентификации, поскольку злоумышленник может сгенерировать допустимый файл cookie "remember me", зная только имя пользователя LDAP или OAuth.

Zoho ManageEngine ADSelfService Plus до версии 6218 позволяет любому осуществлять атаку отказа в обслуживании через API аутентификации мобильного приложения.

Парсер TAR-файлов в AhnLab V3 Internet Security 2011.01.18.00, Avira AntiVir 7.11.1.163, Antiy Labs AVL SDK 2.0.3.7, avast! Antivirus 4.8.1351.0 и 5.0.677.0, AVG Anti-Virus 10.0.0.1190, Bitdefender 7.2, Quick Heal (aka Cat QuickHeal) 11.00, ClamAV 0.96.4, Command Antivirus 5.2.11.5, Comodo Antivirus 7424, Emsisoft Anti-Malware 5.1.0.1, F-Prot Antivirus 4.6.2.117, F-Secure Anti-Virus 9.0.16160.0, Fortinet Antivirus 4.2.254.0, G Data AntiVirus 21, Ikarus Virus Utilities T3 Command Line Scanner 1.1.97.0, Jiangmin Antivirus 13.0.900, K7 AntiVirus 9.77.3565, Kaspersky Anti-Virus 7.0.0.125, McAfee Anti-Virus Scanning Engine 5.400.0.1158, McAfee Gateway (ранее Webwasher) 2010.1C, Antimalware Engine 1.1.6402.0 в Microsoft Security Essentials 2.0, NOD32 Antivirus 5795, Norman Antivirus 6.06.12, nProtect Anti-Virus 2011-01-17.01, Panda Antivirus 10.0.2.7, PC Tools AntiVirus 7.0.3.5, Rising Antivirus 22.83.00.03, Sophos Anti-Virus 4.61.0, AVEngine 20101.3.0.103 в Symantec Endpoint Protection 11, Trend Micro AntiVirus 9.120.0.1004, Trend Micro HouseCall 9.120.0.1004, VBA32 3.12.14.2 и VirusBuster 13.6.151.0 позволяет удаленным злоумышленникам обходить обнаружение вредоносного ПО через запись TAR-архива с полем длины, соответствующим всей этой записи, плюс часть заголовка следующей записи. ПРИМЕЧАНИЕ: в дальнейшем это может быть РАЗБИТО на несколько CVE, если будет опубликована дополнительная информация, показывающая, что ошибка произошла независимо в различных реализациях TAR-парсера.

Wind River VxWorks имеет переполнение буфера в TCP-компоненте (выпуск 1 из 4). Это уязвимость безопасности IPNET: TCP Urgent Pointer = 0, что приводит к целочисленному переполнению.

Множественные переполнения буфера на основе стека в Trend Micro ServerProtect 5.58 до Security Patch 2 Build 1174 позволяют удаленным злоумышленникам выполнять произвольный код через специально созданные данные в (1) TCP-порт 5168, что вызывает переполнение в функции CAgRpcClient::CreateBinding в библиотеке AgRpcCln.dll в SpntSvc.exe; или (2) TCP-порт 3628, что вызывает переполнение в EarthAgent.exe. ПРИМЕЧАНИЕ: обе проблемы доступны через TmRpcSrv.dll.

Существует уязвимость загрузки файлов в Studio-42 elFinder 2.0.4 - 2.1.59 через connector.minimal.php, которая позволяет удаленному злоумышленнику загружать произвольные файлы и выполнять PHP-код.

Уязвимость Hugging Face Transformers MaskFormer Model, связанная с десериализацией ненадежных данных и позволяющая удаленно выполнить код. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Hugging Face Transformers. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, заключающееся в том, что цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток заключается в синтаксическом анализе файлов модели. Проблема возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к десериализации ненадежных данных. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Was ZDI-CAN-25191.

Переполнение буфера в ftpd в IBM AIX 5.3 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код через длинную команду NLST.

Переполнение буфера на основе стека в Remote Control Server в Free Download Manager (FDM) 2.5 Build 758 и 3.0 Build 844 позволяет удаленным злоумышленникам выполнить произвольный код через длинный заголовок Authorization в HTTP-запросе.

Уязвимость межсайтового скриптинга (XSS) в функции ZmMailMsgView.getAttachmentLinkHtml в Zimbra Collaboration Suite (ZCS) до 8.7 Patch 1 и 8.8.x до 8.8.7 может позволить удалённым злоумышленникам внедрить произвольный веб-скрипт или HTML через заголовок Content-Location в вложении электронной почты.

Компонент MySQL в Plixer Scrutinizer (также известном как Dell SonicWALL Scrutinizer) 9.0.1.19899 и более ранних версий имеет пароль по умолчанию admin для учетных записей (1) scrutinizer и (2) scrutremote, что позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через TCP-сессию.

Некоторые устройства Lexmark до 2023-02-19 неправильно обрабатывают проверку ввода (проблема 2 из 4).

Переполнение буфера в ovwebsnmpsrv.exe в HP OpenView Network Node Manager (OV NNM) 7.51 и 7.53 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные параметры в jovgraph.exe, также известное как ZDI-CAN-683.

Множественные переполнения буфера в (1) клиенте и (2) сервере в Racer 0.5.3 beta 5 позволяют удаленным злоумышленникам выполнять произвольный код через длинную строку в UDP-порту 26000.

Lansweeper до версии 7.1.117.4 допускает неаутентифицированную SQL-инъекцию.

В VinChin Backup & Recovery v5.0.*, v6.0.*, v6.7.* и v7.0.* обнаружена уязвимость внедрения команд.