Плагин CGC Maintenance Mode для WordPress уязвим для раскрытия конфиденциальной информации во всех версиях до 1.2 включительно через REST API. Это позволяет злоумышленникам, не прошедшим проверку подлинности, просматривать защищенные сообщения через REST API, даже когда включен режим обслуживания.

Уязвимость SQL-инъекции в компоненте indianpulse Game Server (com_gameserver) 1.2 для Joomla! позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр grp в действии gameserver для index.php.

Soldner Secret Wars 30830 и более ранние версии неправильно обрабатывает ошибку сокета «сообщение слишком длинное», что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (завершение сокета) через длинный UDP-пакет.

Уязвимость удаленного включения файлов PHP в noticias.php в MNews 2.0 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре inc.

В функциональности веб-сервера Moxa EDR-810 V4.1 build 17030317 существует уязвимость использования слабой криптографии для паролей, допускающая эксплуатацию. Злоумышленник может перехватить слабо зашифрованные пароли и взломать их методом грубой силы.

Определенные продукты Papoo подвержены: межсайтовой подделке запросов (CSRF) в интерфейсе администратора. Это затрагивает Papoo CMS Light до 21.02 и Papoo CMS Pro до 6.0.1. Воздействие: получение привилегий (удаленно).

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2010. Notes: none

Состояние гонки в win32k.sys в драйверах режима ядра в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2 и R2 SP1 и Windows 7 Gold и SP1 позволяет локальным пользователям получать привилегии и, следовательно, читать содержимое произвольных областей памяти ядра через специально созданное приложение, что является другой уязвимостью, отличной от других CVE, перечисленных в MS13-016.

Уязвимость, связанная с ненадежным путем поиска, в Anshin net security для Windows версии 16.0.1.44 и более ранних версий позволяет злоумышленнику получить привилегии через троянскую DLL в неуказанном каталоге.

Уязвимость межсайтового скриптинга (XSS) существует в функциях администратора reorder в sNews 1.71.

IBM InfoSphere DataStage 11.7 уязвим к атакам, связанным с внедрением команд из-за неправильной нейтрализации специальных элементов. Чтобы устранить эту проблему, IBM рекомендует применить соответствующие обновления и патчи, такие как InfoSphere DataStage security patch и InfoSphere Parallel Engine security patch. [1] Источники: - [1] https://www.ibm.com/support/pages/node/6833566 - [2] https://exchange.xforce.ibmcloud.com/vulnerabilities/236687

Неправильная нейтрализация входных данных во время генерации веб-страницы (межсайтовый скриптинг) в Riosis Private Limited Rio Photo Gallery позволяет использовать Reflected XSS. Эта проблема затрагивает Rio Photo Gallery: от n/a до 0.1.

A vulnerability was identified in itsourcecode POS Point of Sale System 1.0. This affects an unknown part of the file /inventory/main/vendors/datatables/unit_testing/templates/6776.php. Such manipulation of the argument scripts leads to cross site scripting. The attack can be launched remotely. The exploit is publicly available and might be used.

Уязвимость Cross-Site Request Forgery (CSRF) в Ulf Benjaminsson WP-dTree plugin <= 4.4.5 версий.

Неправильная аутентификация в ImsService до SMR Apr-2022 Release 1 позволяет злоумышленникам получить IMSI без разрешения READ_PRIVILEGED_PHONE_STATE.

Dirapi.dll в Adobe Shockwave Player до 11.6.0.626 позволяет злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через неуказанные векторы, это другая уязвимость, чем CVE-2011-0317, CVE-2011-0319, CVE-2011-0320, CVE-2011-0335, CVE-2011-2119 и CVE-2011-2122.

Множественные переполнения буфера в IglooFTP PRO 3.8 позволяют удаленным FTP-серверам выполнять произвольный код через (1) длинный баннер FTP или длинные ответы на команды клиента (2) USER, (3) PASS, (4) ACCT и, возможно, другие команды.

IBM Tivoli Netcool Impact версий 7.1.0.0-7.1.0.17 уязвим для подделки межсайтовых запросов, что может позволить злоумышленнику выполнять вредоносные и несанкционированные действия, передаваемые от пользователя, которому доверяет веб-сайт. IBM X-Force ID: 175410.

Переполнение буфера в Adobe Audition 3.0.1 и более ранних версиях позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнять произвольный код через специально созданный файл Audition Session (также известный как .ses).

Level Platforms, Inc. (LPI) Managed Workplace Service Center 4.x, 5.x и 6.x позволяет удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к About/SC_About.htm, который предоставляет информацию о версии и исправлениях.

Функция ProcessMimeEntity в util-decode-mime.c в Suricata 4.x до 4.0.6 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (segfault и сбой демона) через специально созданный ввод в SMTP-парсер, как это использовалось в реальных условиях в ноябре 2018 года.