Плагин Gianism для WordPress версии 5.1.0 и ниже не выполняет очистку и экранирование некоторых своих настроек, что может позволить пользователям с высокими привилегиями, таким как администратор, выполнять атаки с использованием межсайтового скриптинга (Stored Cross-Site Scripting) даже когда возможность unfiltered_html запрещена (например, в многосайтовой установке).

Microsoft Word Automation Services в SharePoint Server 2010 SP1, Word Web App 2010 SP1 в Office Web Apps 2010, Word 2003 SP3, Word 2007 SP3, Word 2010 SP1, Office Compatibility Pack SP3 и Word Viewer позволяют удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через специально созданный документ Office, также известный как «Уязвимость повреждения памяти Word», что является другой уязвимостью, отличной от CVE-2013-3847, CVE-2013-3849 и CVE-2013-3858.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2018. Notes: none

В PrestaShop между версиями 1.7.1.0 и 1.7.6.5 существует отраженный XSS на странице AdminCarts с параметром `cartBox`. Проблема исправлена в версии 1.7.6.5.

Helpdesk Pro plugin до версии 1.4.0 для Joomla! позволяет удаленным злоумышленникам записывать в произвольные .ini файлы через специально созданную задачу language.save.

Программа get_it в Corel Linux Update позволяет локальным пользователям получать root-доступ, указывая альтернативный PATH для программы cp.

В D-Link DVG-G5402SP GE_1.03 обнаружена уязвимость внедрения команд через функцию Maintenance.

Red Hat JBoss Operations Network (JON) до версии 2.4.2 неправильно применяет разрешения "modify resource" для удаленных аутентифицированных пользователей при удалении обновления конфигурации подключаемого модуля из истории свойств подключения группы, что предотвращает запись таких действий в аудит.

WordPress Portable phpMyAdmin Plugin 1.4.1 имеет множественные уязвимости обхода системы безопасности.

Двойное освобождение в некоторых прошивках Intel(R) Server Board BMC версий до 2.90 может позволить привилегированному пользователю раскрыть информацию через локальный доступ.

NeDi 1.9C уязвим для атаки межсайтового скриптинга (XSS). Приложение позволяет злоумышленнику выполнять произвольный код JavaScript через параметр chg в Assets-Management.php.

Dell EMC iDRAC9 версий до 4.40.40.00 содержат межсайтовую уязвимость сценариев на основе DOM. Удаленный злоумышленник может воспользоваться этой уязвимостью для запуска вредоносного HTML-кода или JavaScript в браузере жертвы, обманом заставив жертву перейти по специально созданной ссылке.

Межсайтовый скриптинг (XSS) в UrBackup Server до версии 2.1.20 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр action.

Technitium 11.5.3 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (усиление полосы пропускания), поскольку манипуляция DNSBomb вызывает накопление DNS-запросов с низкой скоростью, так что возникает большой ответ в виде всплеска трафика.

Проблема была обнаружена в Hyland OnBase 16.0.2.83 и ниже, 17.0.2.109 и ниже, 18.0.0.37 и ниже, 19.8.16.1000 и ниже и 20.3.10.1000 и ниже. Это позволяет удаленным злоумышленникам выполнять произвольный код из-за небезопасной десериализации JSON.

Master of Orion III 1.2.5 и более ранние версии позволяют удаленным злоумышленникам вызвать отказ в обслуживании (сбой сервера) через несколько соединений с длинными никнеймами, что может вызвать переполнение буфера.

Неправильная конфигурация в механизме аутентификации по отпечатку пальца в Binance: BTC, Crypto and NFTS v2.85.4 позволяет злоумышленникам обходить аутентификацию при добавлении нового отпечатка пальца.

Rejected reason: Not used

Неконтролируемый путь поиска в некотором программном обеспечении установщика сетевого адаптера Intel(R) может позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.

Microsoft Server Message Block 1.0 (SMBv1) допускает уязвимость раскрытия информации из-за того, как Microsoft Windows Server 2008 SP2 и R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold и R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607 и 1703 и Windows Server 2016 обрабатывают определенные запросы, также известную как "Уязвимость раскрытия информации Windows SMB". Этот CVE ID отличается от CVE-2017-0268, CVE-2017-0270, CVE-2017-0271, CVE-2017-0274, CVE-2017-0275 и CVE-2017-0276.

Уязвимость PHP remote file inclusion в cp/sig.php в DeluxeBB 1.09 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный PHP-код через URL в параметре templatefolder.