Неуказанная уязвимость в компоненте MySQL Server в Oracle MySQL 5.1.61 и более ранних версиях, а также 5.5.21 и более ранних версиях, позволяет удаленным аутентифицированным пользователям влиять на доступность через неизвестные векторы, связанные с Server Optimizer, другая уязвимость, чем CVE-2012-1703.

xine-lib 1.1.12 и другие версии 1.1.15 и более ранние неправильно обрабатывают (a) отрицательные и (b) нулевые значения во время неуказанных вызовов функций чтения в input_file.c, input_net.c, input_smb.c и input_http.c, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) или, возможно, выполнять произвольный код через векторы, такие как (1) файл или (2) HTTP-ответ, что приводит к последствиям, таким как чтение за пределами границ и переполнения буфера на основе кучи.

Adobe Acrobat и Reader 2018.011.20040 и более ранние версии, 2017.011.30080 и более ранние версии, а также 2015.006.30418 и более ранние версии имеют уязвимость чтения за пределами выделенной области памяти. Успешная эксплуатация может привести к раскрытию информации.

A denial-of-service security issue exists in the affected product and version. The security issue stems from the controller repeatedly attempting to forward messages. The issue could result in a major nonrecoverable fault on the controller.

Целочисленное переполнение в элементе управления DWA9W ActiveX в iNotes в IBM Domino 9.0 до IF3 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданную веб-страницу, также известную как SPR PTHN97XHFW.

Неправильная нейтрализация специальных элементов, используемых в SQL-команде (SQL Injection), в susheelhbti Saksh Escrow System допускает SQL Injection. Эта проблема затрагивает Saksh Escrow System: от n/a до 2.4.

Prima Systems FlexAir, версии 2.3.38 и более ранние. Параметры, отправляемые в скрипты, неправильно очищаются перед возвратом пользователю, что может позволить злоумышленнику выполнять произвольный код в сеансе браузера пользователя в контексте затронутого сайта.

Уязвимость SQL-инъекции в view_item.php в ClipBucket 2.7 RC3 (2.7.0.4.v2929-rc3) позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр item.

В функциональности HTTP сервера NetX Eclipse ThreadX NetX Duo до версии 6.4.3 злоумышленник может вызвать отказ в обслуживании с помощью специально подготовленных пакетов. Основная проблема заключается в отсутствии закрытия файла в случае возникновения ошибки, что приводит к ошибке 404 для каждого последующего запроса файла. Пользователи могут обойти проблему, отключив поддержку запросов PUT. Эта проблема является результатом неполной исправления CVE-2025-0726.

Rejected reason: This candidate is unused by its CNA.

Netwrix Usercube до версии 6.0.215 в определенных неправильно настроенных локальных установках допускает обход аутентификации на конечных точках развертывания, что приводит к повышению привилегий. Это происходит только в том случае, если в конфигурации отсутствуют обязательные поля restSettings.AuthorizedClientId и restSettings.AuthorizedSecret (для POST /api/Deployment/ExportConfiguration и POST /api/Deployment endpoints).

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in emarket-design WP Ticket Customer Service Software & Support Ticket System allows Stored XSS. This issue affects WP Ticket Customer Service Software & Support Ticket System: from n/a through 6.0.2.

В 07FLYCMS, 07FLY-CMS и 07FlyCRM до версии 1.2.0 обнаружена уязвимость, классифицированная как критическая. Это затрагивает функцию fileUpload файла /admin/File/fileUpload. Манипулирование аргументом file приводит к неограниченной загрузке. Атаку можно инициировать удаленно. Эксплойт был обнародован и может быть использован. Уязвимый продукт известен под разными названиями, такими как 07FLYCMS, 07FLY-CMS и 07FlyCRM. Не удалось связаться с поставщиком до присвоения CVE из-за неработающего почтового адреса.

Уязвимость контроля доступа в компоненте dynawebservice agorum Software GmbH Agorum core open v11.9.2 & v11.10.1 позволяет неаутентифицированным злоумышленникам получить доступ к произвольным файлам в системе. Детали: - Уязвимость типа Path Traversal (CWE-36) - Риск: Высокий - Исправлено в версиях 11.9.2 и 11.10.1 [1] Источники: - [1] https://herolab.usd.de/security-advisories/usd-2025-0022/ - [2] http://agorum.com

Уязвимость межсайтовой подделки запросов (CSRF) в Scott Paterson Easy PayPal & Stripe Buy Now Button. Эта проблема затрагивает Easy PayPal & Stripe Buy Now Button: с n/a по 1.8.1.

Dell EMC Streaming Data Platform версии до 1.3 содержат уязвимость Insufficient Session Expiration. Удаленный не аутентифицированный злоумышленник может потенциально использовать эту уязвимость для повторного использования старых артефактов сеанса для выдачи себя за законного пользователя.

Плагин WooCommerce Purchase Orders для WordPress содержит уязвимость, позволяющую аутентифицированному злоумышленнику с уровнем доступа Subscriber и выше удалять произвольные файлы на сервере, что может легко привести к выполнению произвольного кода, если будет удален правильный файл (например, wp-config.php) [1][2][3]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/05a27a34-b324-4968-937e-2c0d24175d2a?source=cve - [2] https://plugins.trac.wordpress.org/browser/wc-purchase-orders/trunk/includes/class-bbpo-purchase-orders.php#L151 - [3] https://plugins.trac.wordpress.org/browser/wc-purchase-orders/trunk/includes/class-bbpo-purchase-orders-files.php#L148

Bucket is a MediaWiki extension to store and retrieve structured data on articles. Prior to version 1.0.0, infinite recursion can occur if a user queries a bucket using the `!=` comparator. This will result in PHP's call stack limit exceeding, and/or increased memory consumption, potentially leading to a denial of service. Version 1.0.0 contains a patch for the issue.

WebPort-v1.19.17121 подвержен Cross Site Scripting (XSS) в функции "connections".

Tiki до версии 27.0 позволяет пользователям, имеющим определенные разрешения, вставлять сохраненную полезную нагрузку XSS "Create/Edit External Wiki" в Name.

ArchiSteamFarm - это приложение C#, основной целью которого является одновременное простаивание карточек Steam из нескольких учетных записей. Из-за ошибки в коде ASF конечная точка API ASF `POST /Api/ASF`, отвечающая за обновление глобальной конфигурации ASF, некорректно удаляла `IPCPassword` из результирующей конфигурации, когда вызывающий ее явно не указывал ее. Из-за вышеизложенного пользователь мог случайно удалить меру безопасности `IPCPassword` из своего интерфейса IPC при обновлении глобальной конфигурации ASF, которая существует как часть функциональности обновления глобальной конфигурации в ASF-ui. Удаление `IPCPassword` представляет угрозу безопасности, поскольку неавторизованные пользователи могут в результате получить доступ к интерфейсу IPC после такой модификации. Проблема исправлена в ASF V5.1.2.4 и будущих версиях. Мы рекомендуем вручную проверить, указан ли `IPCPassword` после обновления, и, если нет, установить его соответствующим образом. В настройках по умолчанию ASF настроен на разрешение доступа IPC только с `localhost` и не должен затрагивать большинство пользователей.