Ignite Realtime Openfire 4.6.0 имеет create-bookmark.jsp users Stored XSS.

Состояние гонки было устранено путем улучшения обработки состояний. Эта проблема устранена в macOS Ventura 13.5. Приложение может выполнить произвольный код с привилегиями ядра.

Уязвимость была обнаружена в SourceCodester Online Railway Reservation System 1.0. Она была объявлена критической. Уязвимость затрагивает неизвестную функциональность файла /admin/. Манипулирование аргументом page с вводом trains/schedules/system_info приводит к неправильной авторизации. Атака может быть запущена удаленно. Эксплойт был обнародован и может быть использован.

В Artica Proxy до версии 4.30.000000 обнаружена проблема. Межсайтовый скриптинг (XSS) хранится через поля Server Domain Name, Your Email Address, Group Name, MYSQL Server, Database, MYSQL Username, Group Name и Task Description.

Уязвимость межсайтового скриптинга (XSS) в portfolio.php в Verosky Media Instant Photo Gallery, возможно, до версии 1.0.2, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр cat_id.

Переполнение буфера в «основном подключаемом модуле приложения» для Adobe Reader 5.1–7.0.2 и Acrobat 5.0–7.0.2 позволяет злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через неизвестные векторы.

Защиту песочницы в Jenkins Pipeline: Groovy Plugin 2.78 и более ранних версиях можно обойти с помощью выражений параметров по умолчанию в CPS-преобразованных методах.

Устройства Optergy Proton/Enterprise имеют не прошедшую проверку подлинности службу отправки SMS.

Множественные уязвимости обхода каталогов в ServiceRegistry UI в IBM WebSphere Service Registry and Repository (WSRR) 7.5.x до 7.5.0.4, 8.0.x до 8.0.0.3 и 8.5.x до 8.5.0.1 позволяют удаленным аутентифицированным пользователям читать произвольные файлы через неуказанные векторы.

Jenkins 2.274 и более ранние версии, LTS 2.263.1 и более ранние версии не экранируют надписи кнопок в пользовательском интерфейсе Jenkins, что приводит к межсайтовой уязвимости сценариев (XSS), используемой злоумышленниками с возможностью контролировать надписи кнопок.

A denial of service (DoS) vulnerability has been identified in the JavaScript library microlight version 0.0.7. This library, used for syntax highlighting, does not limit the size of textual content it processes in HTML elements with the microlight class. When excessively large content (e.g., 100 million characters) is processed, the reset function in microlight.js consumes excessive memory and CPU resources, causing browser crashes or unresponsiveness. An attacker can exploit this vulnerability by tricking a user into visiting a malicious web page containing a microlight element with large content, resulting in a denial of service. NOTE: this is disputed by multiple parties because a large amount of memory and CPU resources is expected to be needed for content of that size.

Уязвимость межсайтового скриптинга (XSS) в (1) as_web.exe и (2) as_web4.exe в askSam Web Publisher 1 и 4 позволяет удаленным злоумышленникам выполнять произвольный скрипт от имени других пользователей через URL-адрес.

В wl_update_hidden_ap_ie в wl_cfgscan.c возможна запись за границами из-за отсутствия проверки границ. Это может привести к локальному повышению привилегий с необходимостью в привилегиях выполнения системы. Для эксплуатации взаимодействие пользователя не требуется. Продукт: Android. Версии: Ядро Android. Android ID: A-254029309. Ссылки: N/A

Элемент управления ActiveX BlooMooWeb (AidemATL.dll) позволяет удаленным злоумышленникам (1) загружать произвольные файлы через URL-адрес в параметре bstrUrl метода BW_DownloadFile, (2) выполнять произвольные локальные файлы через путь к файлу в параметре bstrParams метода BW_LaunchGame и (3) удалять произвольные файлы через путь к файлу в параметре filePath метода BW_DeleteTempFile.

Adobe Acrobat и Reader версии 2019.008.20081 и более ранние, 2019.008.20080 и более ранние, 2019.008.20081 и более ранние, 2017.011.30106 и более ранняя версия, 2017.011.30105 и более ранняя версия, 2015.006.30457 и более ранние версии, а также 2015.006.30456 и более ранние версии имеют уязвимость записи за границами. Успешная эксплуатация может привести к произвольному выполнению кода.

Возможно утверждение из-за неправильной проверки конфигурации TCI в Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Industrial IOT, Snapdragon Mobile.

Уязвимость в функциях загрузки файлов для Cisco Prime Collaboration Assurance может позволить прошедшему проверку подлинности удаленному злоумышленнику загружать системные файлы, доступ к которым должен быть ограничен. Дополнительная информация: CSCvc99446. Известные уязвимые выпуски: 11.5(0).

Уязвимость переполнения буфера на основе стека в физическом устройстве CLI FortiProxy 2.0.0–2.0.1, 1.2.0–1.2.9, 1.1.0–1.1.6, 1.0.0–1.0.7 может позволить прошедшему проверку подлинности удаленному злоумышленнику выполнить атаку типа «отказ в обслуживании», запустив `diagnose sys cpuset` с большим значением маски cpuset. Fortinet не знает ни об одной успешной эксплуатации этой уязвимости, которая привела бы к выполнению кода.

Неавторизованная отраженная уязвимость межсайтового скриптинга (XSS) в плагине WPSolutions-HQ WPDBSpringClean <= 1.6 версии.

Уязвимость межсайтового скриптинга (XSS) в phpWebSite до 1.0.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.

Уязвимость была обнаружена в SourceCodester Moosikay E-Commerce System 1.0. Ей присвоена критическая оценка. Эта проблема затрагивает некоторую неизвестную функциональность файла /Moosikay/order.php компонента POST Parameter Handler. Манипулирование аргументом username приводит к sql-инъекции. Атака может быть запущена удаленно. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-221732.