Rejected reason: Unused CVE for 2020

Microsoft Internet Explorer 5.01, 6 и 7 неправильно обрабатывает объекты, которые были некорректно инициализированы или удалены, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и выполнять произвольный код через неизвестные векторы, также известное как "Уязвимость повреждения неинициализированной памяти".

A vulnerability classified as critical was found in PHPGurukul Pre-School Enrollment System 1.0. This vulnerability affects unknown code of the file /admin/check_availability.php. The manipulation of the argument Username leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2021-3200 Reason: This candidate is a duplicate of CVE-2021-3200. Notes: All CVE users should reference CVE-2021-3200 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage

CRMEB 3.1.0+ уязвим для загрузки файлов Getshell через /crmeb/crmeb/services/UploadService.php.

Mercurius — это GraphQL-адаптер для Fastify. Любые пользователи Mercurius@8.10.0–8.11.1 подвергаются атаке типа «отказ в обслуживании» путем отправки неверного JSON-кода в `/graphql`, если они не используют пользовательский обработчик ошибок. Уязвимость была устранена в https://github.com/mercurius-js/mercurius/pull/678 и выпущена как v8.11.2. В качестве обходного решения пользователи могут использовать пользовательский обработчик ошибок.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2017. Notes: none

Недостаточная нейтрализация ввода во время генерации веб-страницы (вредоносный скрипт на стороне клиента) в MarMar8x Notif Bell позволяет осуществлять Хранение XSS. Эта проблема затрагивает Notif Bell: с n/a до 0.9.8.

В SourceCodester Online Graduate Tracer System 1.0 обнаружена уязвимость, классифицированная как критическая. Проблеме подвержена функция mysqli_query файла sexit.php. Манипулирование аргументом id приводит к SQL-инъекции. Атака может быть запущена удаленно. Эксплойт был обнародован и может быть использован. VDB-238154 - идентификатор, присвоенный этой уязвимости.

Уязвимость внедрения команд в приложении Juniper Networks NorthStar Controller Application до версии 2.1.0 Service Pack 1 может позволить злоумышленнику в сети вызывать условие отказа в обслуживании.

В migrateNotificationFilter в NotificationManagerService.java возможен сбой при сохранении настроек уведомлений из-за неправильной проверки входных данных. Это может привести к локальному повышению привилегий без необходимости в дополнительных привилегиях выполнения. Для эксплуатации не требуется взаимодействие с пользователем.

PDFResurrect до версии 0.20, отсутствие проверок заголовков приводит к переполнению буфера кучи в pdf_get_version().

Плагин Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder для WordPress уязвим к подделке запросов на стороне сервера во всех версиях до и включая 6.2 через метод 'call_webhook' класса Automator_Send_Webhook. Это позволяет аутентифицированным злоумышленникам с доступом уровня администратора и выше делать веб-запросы на произвольные местоположения из веб-приложения, что может быть использовано для запроса и изменения информации из внутренних сервисов.

Уязвимость межсайтового скриптинга (XSS) в функции просмотра FTP в Mozilla 1.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через тег title ftp URL.

SilverStripe 2.3.x до 2.3.10 и 2.4.x до 2.4.4 хранит конфиденциальную информацию под веб-корнем с недостаточным контролем доступа, что позволяет удаленным злоумышленникам получать информацию о версии через прямой запрос к (1) apphire/silverstripe_version или (2) cms/silverstripe_version.

StorageGRID (ранее StorageGRID Webscale) версии до 11.8 подвержены трудно эксплуатируемой уязвимости отраженного межсайтового скриптинга (XSS). Для успешной эксплуатации злоумышленнику необходимо знать конкретную информацию о целевом экземпляре и обманом заставить привилегированного пользователя щелкнуть специально созданную ссылку. Это может позволить злоумышленнику просматривать или изменять параметры конфигурации, а также добавлять или изменять учетные записи пользователей.

При использовании специального режима для подключения к корпоративному Wi-Fi некоторые параметры настроены неправильно, и злоумышленники могут выдавать себя за корпоративный Wi-Fi с помощью тщательно сконструированного Wi-Fi с тем же именем, что может привести к атакам типа "человек посередине".

Множественные уязвимости удаленного включения файлов PHP в SnippetMaster 2.2.2, когда register_globals включен, позволяют удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре (1) _SESSION[SCRIPT_PATH] в includes/vars.inc.php и параметре (2) g_pcltar_lib_dir в includes/tar_lib/pcltar.lib.php.

Анализ вредоносного X_B-файла может заставить Autodesk AutoCAD 2023 и 2022 читать за пределами выделенных границ. Эта уязвимость в сочетании с другими уязвимостями может привести к выполнению кода в контексте текущего процесса.

Множественные уязвимости SQL-инъекции в Core CoreNews 2.0.1 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через параметры (1) icon_id и (2) userid в preview.php.

В Navigate CMS до версии 2.8.7 обнаружена проблема. Это позволяет осуществлять Directory Traversal, поскольку lib/packages/templates/template.class.php неправильно обрабатывает подстроки ../ и ..\.