Zyxel VMG1312-B10D до версии 5.13(AAXA.8)C0 допускают Directory Traversal ../, как показано при чтении /etc/passwd.

Microsoft Internet Explorer 5.01, 6 и 7 обращается к неинициализированной памяти, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и выполнять произвольный код через неизвестные векторы, это другая уязвимость, чем CVE-2008-2254, также известная как "Уязвимость повреждения памяти HTML-объекта".

Устройства Linear eMerge E3-Series допускают XSS.

Неуказанная уязвимость в Adobe Flash Player 21.0.0.213 и более ранних версий, используемая в библиотеках Adobe Flash в Microsoft Internet Explorer 10 и 11 и Microsoft Edge, имеет неизвестные последствия и векторы атак, что является другой уязвимостью, чем другие CVE, перечисленные в MS16-064.

Microsoft .NET Framework 4 некорректно выделяет буферы, что позволяет удаленным злоумышленникам выполнять произвольный код через (1) специально созданное XAML-приложение браузера (aka XBAP) или (2) специально созданное приложение .NET Framework, также известная как "Уязвимость выделения буфера .NET Framework".

Устройства MASTER IPCAMERA01 3.3.4.2103 позволяют удаленным злоумышленникам получать конфиденциальную информацию через специально созданный HTTP-запрос, что демонстрируется именем пользователя, паролем и настройками конфигурации.

FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с br.com.anteros.dbcp.AnterosDBCPConfig (aka anteros-core).

Обнаружена уязвимость удаленного выполнения кода в HPE Operations Orchestration Community edition и Enterprise edition до v10.70.

Переполнение буфера на основе кучи в Microsoft Office Excel 2007 SP1 и SP2; Office Excel Viewer SP1 и SP2; и Office Compatibility Pack для Word, Excel и PowerPoint 2007 File Formats SP1 и SP2 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданную электронную таблицу, в которой "запись MDXTUPLE разбита на несколько записей", также известная как "Уязвимость переполнения кучи записи MDXTUPLE Microsoft Office Excel".

Microsoft Internet Explorer 6.0.2800.1106 в Microsoft Windows XP SP2 и другие версии, включая 5.01 и 5.5, позволяют удаленным веб-серверам обходить ограничения зоны и выполнять произвольный код в зоне локального компьютера, перенаправляя функцию на другую функцию с тем же именем, как показано в SimilarMethodNameRedir, также известной как «Уязвимость перенаправления междоменного имени похожего метода».

Неуказанная уязвимость в Microsoft Office Excel 2002 SP3, 2003 SP3, 2007 SP1 и SP2; Office 2004 для Mac; Office 2008 для Mac; Open XML File Format Converter для Mac; Office Excel Viewer SP1 и SP2; и Office Compatibility Pack для Word, Excel и PowerPoint 2007 File Formats SP1 и SP2 позволяет удаленным злоумышленникам выполнять произвольный код через файл Excel со специально созданной записью SxView, связанной с неправильной проверкой неуказанных структур, также известной как «Уязвимость повреждения памяти при синтаксическом анализе записи Excel», уязвимость, отличная от CVE-2010-0824 и CVE-2010-1245.

Judge0 — это онлайн-система выполнения кода с открытым исходным кодом. Приложение использует команду UNIX chown для ненадежного файла в песочнице. Злоумышленник может злоупотребить этим, создав символическую ссылку (symlink) на файл за пределами песочницы, что позволит злоумышленнику запустить chown для произвольных файлов за пределами песочницы. Эта уязвимость сама по себе не оказывает существенного влияния, но ее можно использовать для обхода исправления для CVE-2024-28185 и получения полного выхода из песочницы. Эта уязвимость исправлена в версии 1.13.1.

В OpenSSH 7.9, из-за приема и отображения произвольного вывода stderr с сервера, вредоносный сервер (или злоумышленник Man-in-The-Middle) может манипулировать выводом клиента, например, использовать управляющие коды ANSI для скрытия дополнительных передаваемых файлов.

ASP-функция Response.AddHeader в Microsoft Internet Information Server (IIS) 4.0 и 5.0 не ограничивает запросы памяти при создании заголовков, что позволяет удаленным злоумышленникам генерировать большой заголовок для вызова отказа в обслуживании (потребление памяти) с помощью ASP-страницы.

Обнаружено, что D-Link DIR-816 A2 v1.10CNB05 содержит переполнение стека через параметр sip_address в ipportFilter.

Обнаружено, что D-Link DIR-816 A2 v1.10CNB05 содержит переполнение стека через параметр macCloneMac в setMAC.

Cybrotech CyBroHttpServer 1.0.3 допускает обход каталогов через ../ в URI.

Yii 2 до версии 2.0.52 содержит уязвимость, связанную с неправильной обработкой подключения поведения, определенного массивом __class. Злоумышленники эксплуатировали эту уязвимость в дикой природе в феврале-апреле 2025 года [1]. Рекомендуется обновиться до версии 2.0.52 или более поздней. Источники: - [1] https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52

Множественные переполнения буфера на основе стека в приложении HMI в DATAC RealFlex RealWin 2.1 (Build 6.1.10.10) и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольный код через (1) длинное имя пользователя в пакете On_FC_CONNECT_FCS_LOGIN и специально созданные пакеты (2) On_FC_CTAGLIST_FCS_CADDTAG, (3) On_FC_CTAGLIST_FCS_CDELTAG, (4) On_FC_CTAGLIST_FCS_ADDTAGMS, (5) On_FC_RFUSER_FCS_LOGIN, (6) неуказанные "On_FC_BINFILE_FCS_*FILE", (7) On_FC_CGETTAG_FCS_GETTELEMETRY, (8) On_FC_CGETTAG_FCS_GETCHANNELTELEMETRY, (9) On_FC_CGETTAG_FCS_SETTELEMETRY, (10) On_FC_CGETTAG_FCS_SETCHANNELTELEMETRY и (11) On_FC_SCRIPT_FCS_STARTPROG на порт 910.

Реализация Remote Desktop Protocol (RDP) в Microsoft Windows XP SP3 неправильно обрабатывает пакеты в памяти, что позволяет удаленным злоумышленникам выполнять произвольный код, отправляя специально созданные пакеты RDP, вызывающие доступ к удаленному объекту, также известная как "Уязвимость Remote Desktop Protocol".

Уязвимость межсайтовой подделки запросов (CSRF) в /xslt в маршрутизаторах 2wire 1701HG и 2071 Gateway с программным обеспечением 3.17.5 и 5.29.51 позволяет удаленным злоумышленникам выполнять определенные изменения конфигурации в качестве администраторов.