Устройства Intelbras WRN 150 1.0.18 допускают CSRF через GO=system_password.asp к URI goform/SysToolChangePwd для изменения пароля.

calendar/managesubscriptions.php в Moodle 2.4.x до версии 2.4.2 не учитывает требования возможностей перед отображением подписок календаря, что позволяет удаленным аутентифицированным пользователям получать потенциально конфиденциальную информацию, используя роль студента.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate is unused by its CNA. Notes: none.

В annyshow DuxCMS 2.1 обнаружена уязвимость. Она была классифицирована как проблемная. Это затрагивает неизвестную часть файла admin.php&r=article/AdminContent/edit компонента Article Handler. Манипуляция аргументом content приводит к межсайтовому скриптингу. Можно инициировать атаку удаленно. Эксплойт был раскрыт публично и может быть использован. Соответствующий идентификатор этой уязвимости — VDB-215115.

В Mahara 21.04 до 21.04.6, 21.10 до 21.10.4 и 22.04.2 файлы иногда можно загружать через thumb.php без проверки разрешений.

Уязвимость Authorization Bypass Through User-Controlled Key в плагине Chimpstudio WP JobHunt для WordPress позволяет эксплуатировать неправильно настроенные уровни безопасности доступа. Эта проблема затрагивает WP JobHunt версии до 7.1 включительно [1]. CVSS-оценка: 5.3 (низкий приоритет). Источники: - [1] https://patchstack.com/database/wordpress/plugin/wp-jobhunt/vulnerability/wordpress-wp-jobhunt-7-1-insecure-direct-object-references-idor-vulnerability?_s_id=cve

Components of the YoSmart YoLink ecosystem through 2025-10-02 leverage unencrypted MQTT to communicate over the internet. An attacker with the ability to monitor network traffic could therefore obtain sensitive information or tamper with the traffic to control affected devices. This affects YoLink Hub 0382, YoLink Mobile Application 1.40.41, and YoLink MQTT Broker.

Zoho ManageEngine ADManager Plus версии 7110 и более ранних допускает неограниченную загрузку файлов, что приводит к удаленному выполнению кода.

CRHTLF может привести к недопустимому извлечению протокола, что потенциально может привести к XSS в репозитории GitHub medialize/uri.js до версии 1.19.11.

В postNotification в ServiceRecord.java возможен обход разрешений из-за небезопасного PendingIntent. Это может привести к локальному раскрытию информации с необходимыми привилегиями User. Для эксплуатации не требуется взаимодействие с пользователем. Продукт: Android. Версии: Android-11. Android ID: A-153878498.

Переполнение стека в компоненте sctp_server::sctp_receiver_thread OpenAirInterface CN5G AMF (oai-cn5g-amf) до v2.0.0 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) путем многократного установления соединений SCTP с интерфейсом N2.

Множественные уязвимости удаленного включения файлов PHP в Web Server Creator - Web Portal 0.1 позволяют удаленным злоумышленникам выполнять произвольный PHP-код через URL в (1) параметре pg в index.php и (2) параметре path в news/form.php.

Приложение Gravey Design (aka com.dreamstep.wGraveyDesign) версии 0.58.13357.54919 для Android не проверяет сертификаты X.509 от SSL-серверов, что позволяет злоумышленникам, находящимся посередине, подменять серверы и получать конфиденциальную информацию через поддельный сертификат.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2016. Notes: none

В MobileDetect 2.8.31 обнаружена уязвимость, которая была классифицирована как проблемная. Эта проблема затрагивает функцию initLayoutType файла examples/session_example.php компонента Example. Манипуляция аргументом $_SERVER['PHP_SELF'] приводит к межсайтовому скриптингу. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 2.8.32 позволяет решить эту проблему. Идентификатор патча - 31818a441b095bdc4838602dbb17b8377d1e5cce. Рекомендуется обновить уязвимый компонент. Этой уязвимости был присвоен идентификатор VDB-220061.

Было обнаружено, что Totolink A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128 и A810R V4.1.2cu.5182_B20201026 содержат уязвимость внедрения команд в функции setUploadSetting через параметр FileName. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды через специально созданный запрос.

Неправильная нейтрализация входных данных во время генерации веб-страницы («межсайтовый скриптинг») в Gutentor Gutentor позволяет выполнять XSS на основе DOM. Эта проблема затрагивает Gutentor: от n/a до 3.4.0.

Android-приложение Smart-tab, установленное в апреле 2023 года или ранее, содержит активную уязвимость отладочного кода. В случае эксплуатации этой уязвимости злоумышленник с физическим доступом к устройству может использовать функцию отладки для получения доступа к функциям ОС, повышения привилегий, изменения настроек устройства или подмены устройств в других комнатах.

Переполнение буфера в механизме анализа .ASP IIS ISAPI позволяет злоумышленникам выполнять произвольные команды через длинную строку в аргументе "LANGUAGE" в теге script.

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in WP Swings Membership For WooCommerce allows DOM-Based XSS. This issue affects Membership For WooCommerce: from n/a through 2.8.0.

Межсайтовый скриптинг (XSS) уязвимость в misc/get_admin.php в Advanced Poll 2.08 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр mysql_host.