Vite предоставляет инструменты для разработки интерфейса. До версий 2.9.16, 3.2.7, 4.0.5, 4.1.5, 4.2.3 и 4.3.9 параметры сервера Vite (`server.fs.deny`) можно обойти, используя двойную косую черту (//), что позволяет любому не прошедшему проверку подлинности пользователю читать файлы из корневого пути Vite приложения, включая настройки `fs.deny` по умолчанию (`['.env', '.env.*', '*.{crt,pem}']`). Затронуты только пользователи, явно предоставляющие dev-сервер Vite сети (используя параметр конфигурации `--host` или `server.host`), и можно предоставить только файлы в непосредственной корневой папке проекта Vite. Эта проблема исправлена в vite@4.3.9, vite@4.2.3, vite@4.1.5, vite@4.0.5, vite@3.2.7 и vite@2.9.16.

В phpMyAdmin до 4.9.0 обнаружена проблема. Обнаружена уязвимость, которая позволяет злоумышленнику вызвать CSRF-атаку на пользователя phpMyAdmin. Злоумышленник может обмануть пользователя, например, через неисправный тег \u003cimg\u003e, указывающий на базу данных phpMyAdmin жертвы, и злоумышленник может потенциально доставить полезную нагрузку (например, конкретную инструкцию INSERT или DELETE) жертве.

Множественные целочисленные переполнения в иерархическом элементе управления FlexGrid ActiveX (mshflxgd.ocx) в Microsoft Visual Basic 6.0 и Visual FoxPro 8.0 SP1 и 9.0 SP1 и SP2 позволяют удаленным злоумышленникам выполнять произвольный код через специально созданные свойства (1) Rows и (2) Cols для методов (a) ExpandAll и (b) CollapseAll, связанных с доступом к неправильно инициализированным объектам и повреждением "состояния системы", также известное как "Уязвимость повреждения памяти иерархического элемента управления FlexGrid".

Веб-консоль в Cisco Firepower Management Center 6.0.1 позволяет удаленным аутентифицированным пользователям читать произвольные файлы через специально созданные параметры, также известную как Bug ID CSCva30376.

uploadimage.php в Employee Records System 1.0 позволяет загружать и выполнять произвольный PHP-код, поскольку проверка расширения файла выполняется только на стороне клиента. Злоумышленник может изменить global.js, чтобы разрешить расширение .php.

Microsoft Internet Explorer 9 позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через специально созданный веб-сайт, также известный как "Уязвимость повреждения памяти в Internet Explorer", другая уязвимость, чем CVE-2014-1774 и CVE-2014-1788.

Microsoft Internet Explorer версий 9–11 позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через специально созданный веб-сайт, также известная как «Уязвимость повреждения памяти Internet Explorer», которая отличается от CVE-2014-1773, CVE-2014-1783, CVE-2014-1784, CVE-2014-1786, CVE-2014-1795, CVE-2014-2758, CVE-2014-2759, CVE-2014-2765, CVE-2014-2766 и CVE-2014-2775.

Microsoft Internet Explorer версий 10 и 11 позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через специально созданный веб-сайт, также известная как «Уязвимость повреждения памяти Internet Explorer», которая отличается от CVE-2014-1780, CVE-2014-1794, CVE-2014-1797, CVE-2014-1802, CVE-2014-2756, CVE-2014-2763, CVE-2014-2764, CVE-2014-2769 и CVE-2014-2771.

Terminal Server в Windows NT и Windows 2000 позволяет удаленным злоумышленникам вызвать отказ в обслуживании через последовательность недопустимых пакетов Remote Desktop Protocol (RDP).

Internet Explorer 4.0 и более поздние версии позволяют удаленным злоумышленникам читать произвольные файлы через веб-страницу, которая обращается к устаревшему апплету XML Datasource (com.ms.xml.dso.XMLDSO.class) и изменяет базовый URL-адрес, указывающий на локальную систему, которая является доверенной для апплета.

Microsoft Internet Explorer позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) и, возможно, выполнить произвольный код путем создания экземпляров определенных объектов ActiveX COM Windows 2000, включая (1) ciodm.dll, (2) myinfo.dll, (3) msdxm.ocx и (4) creator.dll.

Существует уязвимость удаленного выполнения кода, когда Microsoft .NET Framework обрабатывает ненадежный ввод, также известная как "Уязвимость удаленного выполнения кода .NET Framework". Это влияет на Microsoft .NET Framework 4.6, Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.7/4.7.1/4.7.2, Microsoft .NET Framework 3.0, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.1/4.7.2, Microsoft .NET Framework 4.7.1/4.7.2, Microsoft .NET Framework 4.7.2, Microsoft .NET Framework 2.0.

ThinkCMF 5.0.190111 позволяет удаленным злоумышленникам выполнять произвольный PHP-код через параметр alias portal/admin_category/addpost.html, поскольку неправильная обработка символа одинарной кавычки позволяет внедрить data/conf/route.php.

Обнаружена проблема в wiki API в GitLab Community и Enterprise Edition до версий 11.2.7, 11.3.x до 11.3.8 и 11.4.x до 11.4.3. Это позволяет удаленно выполнять код.

Squid 3.1 до 3.3.12 и 3.4 до 3.4.4, когда включен SSL-Bump, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой утверждения) через специально созданный запрос диапазона, связанный с управлением состоянием.

The OpenID module in Drupal 7.x before 7.16 allows remote OpenID servers to read arbitrary files via a crafted DOCTYPE declaration in an XRDS file.

Microsoft Office Excel 2002 SP3, 2003 SP3 и 2007 SP1 и SP2; Office 2004 и 2008 для Mac; Open XML File Format Converter для Mac; Office Excel Viewer 2003 SP3; Office Excel Viewer SP1 и SP2; и Office Compatibility Pack for Word, Excel и PowerPoint 2007 File Formats SP1 и SP2 неправильно анализируют формат файла Excel, что позволяет удаленным злоумышленникам выполнять произвольный код через электронную таблицу с неправильно сформированным объектом записи, также известную как "Уязвимость очистки полей Excel".

Microsoft Office Excel 2002 SP3 и 2003 SP3 и Office Excel Viewer 2003 SP3 неправильно анализируют формат файла Excel, что позволяет удаленным злоумышленникам выполнять произвольный код через электронную таблицу с неправильно сформированным объектом записи, также известную как "Уязвимость повреждения памяти Excel SxView".

Ruckus до версии 1.5.1.0.21 подвержен удаленной инъекции команд. Аутентифицированный пользователь может отправить запрос к API (конечная точка /service/v1/createUser), внедряя произвольные команды, которые будут выполнены от имени пользователя root через web.py.

Множественные уязвимости удаленного включения файлов PHP в WebDesktop 0.1 позволяют удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре (1) app для apps/apps.php и параметре (2) wsk для wsk/wsk.php.

Microsoft Internet Explorer 9 неправильно обрабатывает объекты в памяти, что позволяет удаленным злоумышленникам выполнять произвольный код, получая доступ к удаленному объекту, также известному как «Уязвимость удаленного выполнения кода для кэшированных объектов».