Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. Версии Grafana 8.0.0-beta1–8.3.0 (за исключением исправленных версий) уязвимы для обхода каталогов, что позволяет получить доступ к локальным файлам. Уязвимый путь URL: `<grafana_host_url>/public/plugins//`, где — это идентификатор плагина для любого установленного плагина. Grafana Cloud никогда не была уязвима. Пользователям рекомендуется обновиться до исправленных версий 8.0.7, 8.1.8, 8.2.7 или 8.3.1. Рекомендация по безопасности GitHub содержит больше информации об уязвимых путях URL, мерах по снижению риска и сроках раскрытия информации.

Некоторые типы полей не правильно очищают данные из несформированных источников в Drupal 8.5.x до 8.5.11 и Drupal 8.6.x до 8.6.10. Это может привести к выполнению произвольного PHP-кода в некоторых случаях. Сайт подвержен этой проблеме только если выполнено одно из следующих условий: Сайт включает модуль RESTful Web Services (rest) ядра Drupal 8 и разрешает PATCH или POST запросы, или сайт имеет включенный другой модуль веб-сервисов, такой как JSON:API в Drupal 8 или Services или RESTful Web Services в Drupal 7. (Примечание: Модуль Services для Drupal 7 в настоящее время не требует обновления, но вы должны применить другие предлагаемые обновления, связанные с этой рекомендацией, если Services используется.)

Протокол модуляции Java OpenWire уязвим к выполнению удаленного кода. Эта уязвимость может позволить удаленному злоумышленнику с сетевым доступом к либо брокеру, либо клиенту на основе Java OpenWire выполнять произвольные команды оболочки, манипулируя сериализованными типами классов в протоколе OpenWire, чтобы заставить либо клиент, либо брокер (соответственно) инстанцировать любой класс в classpath. Пользователям рекомендуется обновить как брокеров, так и клиентов до версии 5.15.16, 5.16.7, 5.17.6 или 5.18.3, что исправляет данную проблему.

В версиях WS_FTP Server до 8.7.4 и 8.8.2 предварительно аутентифицированный атакующий может использовать уязвимость десериализации .NET в модуле Ad Hoc Transfer для выполнения удаленных команд на операционной системе WS_FTP Server.

Уязвимость внедрения команд в веб-сервере некоторых продуктов Hikvision. Из-за недостаточной проверки ввода злоумышленник может использовать уязвимость для запуска атаки внедрения команд, отправив сообщения с вредоносными командами.

Некорректная реализация алгоритма аутентификации в Ivanti vTM, отличного от версий 22.2R1 или 22.7R2, позволяет удаленному неаутентифицированному злоумышленнику обойти аутентификацию панели администратора.

Неопубликованные запросы могут обойти аутентификацию утилиты конфигурации, позволяя злоумышленнику с сетевым доступом к системе BIG-IP через управляемые порты и/или IP-адреса выполнять произвольные системные команды. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.

Определенные продукты WSO2 допускают неограниченную загрузку файлов с последующим удаленным выполнением кода. Злоумышленник должен использовать конечную точку /fileupload с последовательностью обхода каталогов Content-Disposition для достижения каталога под веб-корнем, такого как каталог ../../../../repository/deployment/server/webapps. Это затрагивает WSO2 API Manager с 2.2.0 до 4.0.0, WSO2 Identity Server с 5.2.0 до 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 и 5.6.0, WSO2 Identity Server as Key Manager с 5.3.0 до 5.11.0, WSO2 Enterprise Integrator с 6.2.0 до 6.6.0, WSO2 Open Banking AM с 1.4.0 до 2.0.0 и WSO2 Open Banking KM с 1.4.0 до 2.0.0.

Специально созданный запрос uri-path может вызвать перенаправление запроса mod_proxy на сервер-источник, выбранный удаленным пользователем. Эта проблема затрагивает Apache HTTP Server 2.4.48 и более ранние версии.

SolarWinds Serv-U был подвержен уязвимости обхода каталогов, которая позволяла получать доступ для чтения конфиденциальных файлов на хост-машине.

Версии Apache Struts 2.3 - 2.3.34 и 2.5 - 2.5.16 подвержены возможному удаленному выполнению кода, когда alwaysSelectFullNamespace имеет значение true (либо пользователем, либо плагином, таким как Convention Plugin), и затем: результаты используются без пространства имен, и в то же время его верхний пакет не имеет пространства имен или подстановочного знака, и аналогично результатам, та же возможность при использовании тега URL, у которого нет значения и установленного действия, и в то же время его верхний пакет не имеет пространства имен или подстановочного знака.

vBulletin 5.x до версии 5.5.4 позволяет удаленно выполнять команды через параметр widgetConfig[code] в запросе routestring ajax/render/widget_php.

Версии Kibana до 5.6.15 и 6.6.1 содержат недостаток в выполнении произвольного кода в компоненте визуализатора Timelion. Атакующий, имеющий доступ к приложению Timelion, может отправить запрос, который попытается выполнить javascript код. Это может привести к выполнению произвольных команд с разрешениями процесса Kibana на хост-системе.

Переполнение буфера в функции ScStoragePathFromUrl в службе WebDAV в Internet Information Services (IIS) 6.0 в Microsoft Windows Server 2003 R2 позволяет удаленным злоумышленникам выполнять произвольный код через длинный заголовок, начинающийся с "If: <http://" в запросе PROPFIND, как это было использовано в дикой природе в июле или августе 2016 года.

Приложение Spring MVC или Spring WebFlux, работающее на JDK 9+, может быть уязвимо для удаленного выполнения кода (RCE) через связывание данных. Для конкретного эксплойта требуется, чтобы приложение работало на Tomcat как WAR-развертывание. Если приложение развернуто как исполняемый jar-файл Spring Boot, то есть по умолчанию, оно не уязвимо для эксплойта. Однако природа уязвимости является более общей, и могут быть другие способы ее эксплуатации.

Компонент mailboxd в Synacor Zimbra Collaboration Suite 8.7.x до 8.7.11p10 имеет уязвимость XML External Entity injection (XXE), как это демонстрируется в Autodiscover/Autodiscover.xml.

Обход аутентификации с использованием альтернативного пути или канала [CWE-288] в Fortinet FortiOS версии 7.2.0 - 7.2.1 и 7.0.0 - 7.0.6, FortiProxy версии 7.2.0 и версии 7.0.0 - 7.0.6 и FortiSwitchManager версии 7.2.0 и 7.0.0 позволяет неаутентифицированному злоумышленнику выполнять операции в административном интерфейсе с помощью специально созданных HTTP или HTTPS запросов.

В версиях BIG-IP 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1 и 11.6.1-11.6.5.1 пользовательский интерфейс управления трафиком (TMUI), также называемый утилитой Configuration, имеет уязвимость удаленного выполнения кода (RCE) на нераскрытых страницах.

Уязвимость внедрения шаблона на стороне сервера в CrushFTP во всех версиях до 10.7.1 и 11.1.0 на всех платформах позволяет неаутентифицированным удаленным злоумышленникам читать файлы из файловой системы за пределами песочницы VFS, обходить аутентификацию для получения административного доступа и выполнять удаленное выполнение кода на сервере.

** НЕ ПОДДЕРЖИВАЕТСЯ ПРИ НАЗНАЧЕНИИ ** В D-Link DNS-320L, DNS-325, DNS-327L и DNS-340L до 20240403 обнаружена уязвимость, классифицированная как критическая. Уязвимой является неизвестная функция файла /cgi-bin/nas_sharing.cgi компонента HTTP GET Request Handler. Манипулирование аргументом system приводит к внедрению команд. Атаку можно осуществить удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-259284. ПРИМЕЧАНИЕ. Эта уязвимость затрагивает только продукты, которые больше не поддерживаются сопровождающим. ПРИМЕЧАНИЕ. С поставщиком связались заранее и сразу же подтвердили, что срок службы продукта истек. Его следует утилизировать и заменить.

GeoServer — это открытый сервер, который позволяет пользователям делиться и редактировать геопространственные данные. До версий 2.22.6, 2.23.6, 2.24.4 и 2.25.2 несколько параметров запросов OGC позволяют выполнять удалённый код (RCE) неаутентифицированными пользователями через специально подготовленный ввод против стандартной установки GeoServer из-за небезопасной оценки имен свойств в качестве выражений XPath. API библиотеки GeoTools, который вызывает GeoServer, оценивает имена свойств/атрибутов для типов объектов таким образом, что небезопасно передает их в библиотеку commons-jxpath, которая может выполнять произвольный код при оценке выражений XPath. Эта оценка XPath предназначена для использования только сложными типами объектов (т.е. хранилищами данных схемы приложений), но неправильно применяется и к простым типам объектов, что делает эту уязвимость применимой ко **ВСЕМ** экземплярам GeoServer. Публичный PoC не предоставлен, но эта уязвимость подтверждена как подлежащая эксплуатации через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute. Эта уязвимость может привести к выполнению произвольного кода. Версии 2.22.6, 2.23.6, 2.24.4 и 2.25.2 содержат исправление этой проблемы. Обходной путь состоит в удалении файла `gt-complex-x.y.jar` из GeoServer, где `x.y` — это версия GeoTools (например, `gt-complex-31.1.jar`, если используется GeoServer 2.25.1). Это удалит уязвимый код из GeoServer, но может нарушить некоторую функциональность GeoServer или помешать его развёртыванию, если модуль gt-complex необходим.