Rejected reason: ** REJECT ** DO NOT USE THIS CVE RECORD. ConsultIDs: none. Reason: This record was in a CNA pool that was not assigned to any issues during 2020. Notes: none.

Уязвимость Missing Authorization в BoldThemes Bold Timeline Lite позволяет использовать неправильно настроенные уровни безопасности контроля доступа. Проблема затрагивает Bold Timeline Lite версий от n/a до 1.1.9.

Коммит 3730880 (апрель 2023 г.) и v.0.9-beta1 gugoan Economizzer уязвим для Clickjacking. Clickjacking, также известный как "атака с подменой пользовательского интерфейса", — это когда злоумышленник использует несколько прозрачных или непрозрачных слоев, чтобы обманом заставить пользователя нажать кнопку или ссылку на другой странице, когда он намеревался щелкнуть страницу верхнего уровня. Таким образом, злоумышленник "перехватывает" клики, предназначенные для его страницы, и направляет их на другую страницу, скорее всего, принадлежащую другому приложению, домену или и тому, и другому.

Диспетчер Ajax для Extbase в расширении Yet Another Gallery (yag) до 3.0.1 и расширении Tools for Extbase development (pt_extbase) до 1.5.1 позволяет удаленным злоумышленникам обходить ограничения доступа и выполнять произвольные действия контроллера через неуказанные векторы.

Функция DNP3 на Rockwell Automation Allen-Bradley MicroLogix 1400 1766-Lxxxxx A FRN контроллерах 7 и более ранних версий и 1400 1766-Lxxxxx B FRN контроллерах до 15.001 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (нарушение процесса) через неправильно сформированные пакеты по (1) сети Ethernet или (2) последовательной линии.

В уязвимости, обнаруженной в SIPROTEC 5 6MD84 (CP300) (Все версии), SIPROTEC 5 6MD85 (CP200) (Все версии), SIPROTEC 5 6MD85 (CP300) (Все версии), SIPROTEC 5 6MD86 (CP200) (Все версии), SIPROTEC 5 6MD86 (CP300) (Все версии), SIPROTEC 5 6MD89 (CP300) (Все версии), SIPROTEC 5 6MU85 (CP300) (Все версии), SIPROTEC 5 7KE85 (CP200) (Все версии), SIPROTEC 5 7KE85 (CP300) (Все версии), SIPROTEC 5 7SA82 (CP100) (Все версии), SIPROTEC 5 7SA82 (CP150) (Все версии), SIPROTEC 5 7SA86 (CP200) (Все версии), SIPROTEC 5 7SA86 (CP300) (Все версии), SIPROTEC 5 7SA87 (CP200) (Все версии), SIPROTEC 5 7SA87 (CP300) (Все версии), SIPROTEC 5 7SD82 (CP100) (Все версии), SIPROTEC 5 7SD82 (CP150) (Все версии), SIPROTEC 5 7SD86 (CP200) (Все версии), SIPROTEC 5 7SD86 (CP300) (Все версии), SIPROTEC 5 7SD87 (CP200) (Все версии), SIPROTEC 5 7SD87 (CP300) (Все версии), SIPROTEC 5 7SJ81 (CP100) (Все версии), SIPROTEC 5 7SJ81 (CP150) (Все версии), SIPROTEC 5 7SJ82 (CP100) (Все версии), SIPROTEC 5 7SJ82 (CP150) (Все версии), SIPROTEC 5 7SJ85 (CP200) (Все версии), SIPROTEC 5 7SJ85 (CP300) (Все версии), SIPROTEC 5 7SJ86 (CP200) (Все версии), SIPROTEC 5 7SJ86 (CP300) (Все версии), SIPROTEC 5 7SK82 (CP100) (Все версии), SIPROTEC 5 7SK82 (CP150) (Все версии), SIPROTEC 5 7SK85 (CP200) (Все версии), SIPROTEC 5 7SK85 (CP300) (Все версии), SIPROTEC 5 7SL82 (CP100) (Все версии), SIPROTEC 5 7SL82 (CP150) (Все версии), SIPROTEC 5 7SL86 (CP200) (Все версии), SIPROTEC 5 7SL86 (CP300) (Все версии), SIPROTEC 5 7SL87 (CP200) (Все версии), SIPROTEC 5 7SL87 (CP300) (Все версии), SIPROTEC 5 7SS85 (CP200) (Все версии), SIPROTEC 5 7SS85 (CP300) (Все версии), SIPROTEC 5 7ST85 (CP200) (Все версии), SIPROTEC 5 7ST85 (CP300) (Все версии), SIPROTEC 5 7ST86 (CP300) (Все версии), SIPROTEC 5 7SX82 (CP150) (Все версии), SIPROTEC 5 7SX85 (CP300) (Все версии), SIPROTEC 5 7SY82 (CP150) (Все версии), SIPROTEC 5 7UM85 (CP300) (Все версии), SIPROTEC 5 7UT82 (CP100) (Все версии), SIPROTEC 5 7UT82 (CP150) (Все версии), SIPROTEC 5 7UT85 (CP200) (Все версии), SIPROTEC 5 7UT85 (CP300) (Все версии), SIPROTEC 5 7UT86 (CP200) (Все версии), SIPROTEC 5 7UT86 (CP300) (Все версии), SIPROTEC 5 7UT87 (CP200) (Все версии), SIPROTEC 5 7UT87 (CP300) (Все версии), SIPROTEC 5 7VE85 (CP300) (Все версии), SIPROTEC 5 7VK87 (CP200) (Все версии), SIPROTEC 5 7VK87 (CP300) (Все версии), SIPROTEC 5 7VU85 (CP300) (Все версии), SIPROTEC 5 Compact 7SX800 (CP050) (Все версии). Затронутые устройства не шифруют определенные данные в встроенной флэш-памяти на своей печатной плате. Это может позволить злоумышленнику с физическим доступом получить полный доступ к файловой системе устройства.

Повреждение памяти в мультимедийном фреймворке из-за переполнения целого числа, когда synx bind вызывается вместе с сигналом synx.

ManageEngine ADManager Plus Build 7111 содержит уязвимость удаленного выполнения кода после аутентификации из-за неправильно проверенной загрузки файлов в интерфейсе Personalization.

Ограниченная подделка запросов на стороне сервера (SSRF) в agent-receiver в Tribe29's Checkmk <= 2.1.0p11 позволяет злоумышленнику взаимодействовать с локальными сетевыми конечными точками с ограниченным доступом с помощью API регистрации хоста.

Несоответствующий контроль имени файла для операторов Include/Require в PHP-программе (уязвимость 'PHP Remote File Inclusion') в NotFound Docpro позволяет включение локальных файлов PHP. Эта проблема затрагивает Docpro: от n/a до 2.0.1.

Программное обеспечение NVIDIA vGPU содержит уязвимость в драйвере режима гостевого ядра и плагине vGPU, в которой входной индекс не проверяется, что может привести к несанкционированному изменению данных или отказу в обслуживании. Это затрагивает vGPU версии 8.x (до 8.6) и версии 11.0 (до 11.3).

Неправильная нейтрализация ввода во время генерации веб-страницы ('Cross-site Scripting') уязвимость в MantraBrain Sikshya LMS позволяет использовать отраженный XSS. Эта проблема затрагивает Sikshya LMS: от n/a до 0.0.21.

WordPress плагин Loginizer до версии 1.7.9 не экранирует параметр перед выводом его обратно на страницу, что приводит к отраженному межсайтовому скриптингу, который может быть использован против пользователей с высокими привилегиями, таких как администратор.

modules/xmpp/serv_xmpp.c в Citadel 7.86 и более ранних версиях неправильно обнаруживает рекурсию во время расширения сущностей, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти и ЦП) через специально созданный XML-документ, содержащий большое количество вложенных ссылок на сущности, аналогичная проблема CVE-2003-1564.

Множественная цепочка подделки межсайтовых запросов (CSRF) в NCR Terminal Handler v.1.5.1 позволяет злоумышленнику повысить привилегии через специально созданный запрос, включающий создание учетной записи пользователя и добавление пользователя в группу администраторов. Это эксплуатируется нераскрытой функцией в WSDL, которой не хватает средств контроля безопасности и которая может принимать пользовательские типы контента.

Клиент finger в HP TCP/IP Services для OpenVMS 5.x позволяет локальным пользователям читать произвольные файлы через ссылку, соответствующую файлу (1) .plan или (2) .project.

В code-projects Farmacia 1.0 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла /editar-cliente.php. Манипулирование аргументом id приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2016. Notes: none

deep-parse-json версии 1.0.2 позволяет внешнему злоумышленнику редактировать или добавлять новые свойства к объекту. Это возможно, потому что приложение некорректно проверяет входящие ключи JSON, тем самым позволяя редактировать свойство '__proto__' .

JavaScript в Internet Explorer 3.x и 4.x, и Netscape 2.x, 3.x и 4.x позволяет удаленным злоумышленникам отслеживать веб-активность пользователя, также известная как уязвимость Bell Labs.

ReadXBMImage в coders/xbm.c в ImageMagick до версии 7.0.8-9 оставляет данные неинициализированными при обработке XBM-файла с отрицательным значением пикселя. Если затронутый код используется в качестве библиотеки, загружаемой в процесс, который включает конфиденциальную информацию, эта информация иногда может быть раскрыта через данные изображения.