Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в компоненте advcomsys.com oneVote для Joomla. Это позволяет XSS-атаки, нацеленные на нескриптовые элементы.

KACO New Energy XP100U до XP-JAVA 2.0 подвержен неправильному контролю доступа. Учетные данные всегда будут возвращаться в виде обычного текста с локального сервера во время процесса аутентификации KACO XP100U, независимо от того, какие пароли были предоставлены, что приводит к уязвимости раскрытия информации.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2018. Notes: none

Уязвимость межсайтового скриптинга (XSS) в sourcecodester Lost and Found Information System 1.0 позволяет удаленным злоумышленникам выполнять произвольный код через поля First Name, Middle Name и Last Name на странице Create User.

Уязвимость переполнения стека в parse_block Cesanta MJS 1.20.1 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (DoS) через специально созданный файл.

TensorFlow — это комплексная платформа с открытым исходным кодом для машинного обучения. Неполная проверка в `SparseAdd` приводит к тому, что злоумышленники могут использовать неопределенное поведение (разыменование нулевых указателей), а также записывать данные за пределы выделенной в куче памяти. Реализация (https://github.com/tensorflow/tensorflow/blob/656e7673b14acd7835dc778867f84916c6d1cac2/tensorflow/core/kernels/sparse_add_op.cc) имеет большой набор проверок для двух входных разреженных тензоров (всего 6 тензоров), но не проверяет, что тензоры не пусты или что второе измерение `*_indices` соответствует размеру соответствующего `*_shape`. Это позволяет злоумышленникам отправлять триплеты тензоров, представляющие недопустимые разреженные тензоры, чтобы злоупотреблять предположениями кода, которые не защищены проверкой. Исправление будет включено в TensorFlow 2.5.0. Мы также перенесем этот коммит в TensorFlow 2.4.2, TensorFlow 2.3.3, TensorFlow 2.2.3 и TensorFlow 2.1.4, поскольку они также затронуты и все еще находятся в поддерживаемом диапазоне.

В драйвере WLAN возможна запись за пределами выделенной области памяти из-за отсутствия проверки границ. Это может привести к локальному повышению привилегий с необходимыми привилегиями выполнения системы. Взаимодействие с пользователем для эксплуатации не требуется. Идентификатор патча: ALPS06704526; Идентификатор проблемы: ALPS06704433.

Уязвимость межсайтового скриптинга (XSS) в функциональности поиска в DotNetNuke 4.8 вплоть до 5.1.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поисковые термины, которые не фильтруются должным образом перед отображением на пользовательской странице результатов.

Плагин Visual Portfolio, Photo Gallery & Post Grid WordPress до версии 2.18.0 не имеет надлежащих проверок авторизации в некоторых своих REST-конечных точках, что позволяет неаутентифицированным пользователям вызывать их и внедрять произвольный CSS в произвольные сохраненные макеты.

HMailServer 5.3.x и более ранние версии: повреждение памяти, которое может вызвать DOS.

Argo CD до версий 2.1.9 и 2.2.x до 2.2.4 допускает обход каталогов, связанный с графиками Helm, из-за ошибки в helmTemplate в repository.go. Например, злоумышленник может обнаружить учетные данные, хранящиеся в YAML-файле.

Переполнение буфера в функциональности Server Message Block (SMB) для Microsoft Windows 2000, XP SP1 и SP2, а также Server 2003 и SP1 позволяет удаленным злоумышленникам выполнять произвольный код через неизвестные векторы, также известное как "Уязвимость Server Message Block".

В ядре Linux устранена следующая уязвимость: ASoC: SOF: исправление содержимого вывода дампа стека DSP oops Исправлена переменная @buf, переданная в hex_dump_to_buffer(), и адрес стека, используемый в выводе ошибки дампа.

Уязвимость межсайтовой подделки запросов (CSRF) в ITMOOTI Theme My Ontraport Smartform позволяет осуществить сохраненный XSS. Эта проблема затрагивает Theme My Ontraport Smartform: от n/a до 1.2.11.

Функция iwgif_init_screen в imagew-gif.c:510 в ImageWorsener 1.3.2 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (истощение памяти) через специально созданный файл.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2021. Notes: none.

Microsoft .NET Framework 2.0 SP2 и 3.5.1 неправильно учитывает уровни доверия во время построения выходных данных, что позволяет удаленным злоумышленникам получать конфиденциальную информацию через (1) специально созданное браузерное XAML-приложение (aka XBAP) или (2) специально созданное приложение .NET Framework, также известная как "Code Access Security Info Disclosure Vulnerability".

В Lenovo Protection Driver, до версии 5.1.1110.4231, используемом в Lenovo PC Manager, Lenovo Browser и Lenovo App Store, обнаружена уязвимость переполнения буфера. Локальный злоумышленник с повышенными привилегиями может выполнить произвольный код. Источники: - [1] https://iknow.lenovo.com.cn/detail/430155

Rejected reason: This candidate is unused by its CNA.

Уязвимость, классифицированная как проблемная, была найдена в opensolon до версии 3.1.0. Эта уязвимость затрагивает функцию render_mav файла /aa компонента org.noear.solon.core.handle.RenderManager. Манипуляция аргументом template с входными данными ../org/example/HelloApp.class приводит к переполнению пути: '../filedir'. Атаку можно инициировать удаленно. Эксплойт был обнародован и может быть использован.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: A public posting on 20130831 referenced this ID for a specific issue, but that issue had not been assigned this ID by any CNA. Notes: The posting will later have IDs assigned in accordance with CVE content decisions