Artica Pandora FMS версии 7.0 уязвима для хранения межсайтового скриптинга в параметре имени карты.

An XSS was identified in the Admin Web interface of PrimeKey SignServer before 5.8.1. JavaScript code must be used in a worker name before a Generate CSR request. Only an administrator can update a worker name.

Проблема обнаружена в определенных продуктах Apple. Уязвима iOS до версии 11.1. Проблема связана с компонентом "UIKit". Это позволяет злоумышленникам обходить намеченные ограничения на чтение для защищенных текстовых полей через векторы, включающие событие изменения фокуса.

SQL-инъекция в msg.php в HispaH YouTube Clone Script (youtubeclone) позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр id.

Неуказанная уязвимость в Zimbra Collaboration до версии 8.7.0 позволяет удаленным аутентифицированным пользователям влиять на целостность через неизвестные векторы, также известная как ошибка 99810.

Драйвер сенсорного экрана в Huawei H60 (Honor 6) версий, более ранних, чем H60-L02_6.12.16, и P9 Plus версий, более ранних, чем VIE-AL10BC00B356, имеет уязвимости переполнения стека. Злоумышленник обманом заставляет пользователя установить вредоносное приложение на смартфон и отправляет заданный параметр на диск сенсорного экрана, чтобы вывести систему из строя или повысить привилегии.

В функции jsfNameFromString в jsflash.c в Espruino 2V00 присутствует переполнение буфера на основе стека, что приводит к отказу в обслуживании или, возможно, к другим не указанным последствиям из-за специально созданного js-файла.

Уязвимость межсайтового скриптинга (XSS) в YzmCMS 5.2 через параметр site_code в admin/index/init.html.

Проблема в Shenzhen TCL Browser TV Web BrowseHere (aka com.tcl.browser) 6.65.022_dab24cc6_231221_gp позволяет удаленному злоумышленнику выполнить произвольный код JavaScript через компонент com.tcl.browser.portal.browse.activity.BrowsePageActivity.

Переполнение буфера на основе кучи в функции nsHTMLReflowState::CalculateHypotheticalBox в Mozilla Firefox 4.x до 12.0, Firefox ESR 10.x до 10.0.5, Thunderbird 5.0 до 12.0, Thunderbird ESR 10.x до 10.0.5 и SeaMonkey до 2.10 позволяет удаленным злоумышленникам выполнять произвольный код, изменяя размер окна, отображающего абсолютно позиционированные и относительно позиционированные элементы во вложенных столбцах.

Уязвимость удаленного выполнения кода была выявлена в HPE Intelligent Management Center (IMC) PLAT версии ниже 7.3 E0506P09.

Emerson DeltaV DCS версий 11.3.1, 12.3.1, 13.3.0, 13.3.1, R5 позволяют разместить специально созданный DLL-файл в пути поиска и загрузить его как внутреннюю и допустимую DLL, что может позволить произвольное выполнение кода.

Некорректная нейтрализация входных данных при генерации веб-страницы (межсайтовый скриптинг) в August Infotech AI Twitter Feeds (Twitter widget & shortcode) позволяет осуществить Stored XSS. Эта проблема затрагивает AI Twitter Feeds (Twitter widget & shortcode): от n/a до 2.4.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2020. Notes: none

Множественные уязвимости межсайтовой подделки запросов (CSRF) в index.php в IDE Group DVD Rental System (DRS) 5.1 до 20070801 позволяют удаленным злоумышленникам выполнять определенные действия от имени произвольных пользователей, как продемонстрировано (1) изменением данных или (2) отменой подписки. ПРИМЕЧАНИЕ: неясно, обновляет ли IDE Group все установки DRS в качестве поставщика услуг приложений. Если да, то эту проблему не следует включать в CVE.

Уязвимость несанкционированного доступа в модуле управления картами. Успешная эксплуатация этой уязвимости может повлиять на конфиденциальность сервиса.

Thunderbird до версии 0.9, при работе в системах Windows, использует обработчик по умолчанию при обработке ссылок javascript:, который вызывает Internet Explorer и может подвергнуть пользователя Thunderbird уязвимостям в версии Internet Explorer, установленной в системе пользователя. ПРИМЕЧАНИЕ: поскольку вызов между несколькими продуктами является обычной практикой, а уязвимости, присущие взаимодействию нескольких продуктов, нелегко перечислить, эта проблема может быть ОТКЛОНЕНА в будущем.

Смартфон Huawei Taurus-AL00B с версиями ранее 10.0.0.203(C00E201R7P2) имеет уязвимость использования после освобождения (UAF). Аутентифицированный локальный злоумышленник может выполнять определенные операции для эксплуатации этой уязвимости. Успешная эксплуатация может привести к несанкционированному изменению информации, что повлияет на доступность.

Уязвимость межсайтового скриптинга (XSS) во встроенном веб-сервере в Siemens SINEMA Remote Connect Server до версии 1.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный URL.

В OpenNDS до версии 10.1.3 обнаружена проблема. Не удается очистить запись ключа FAS в файле конфигурации, что позволяет злоумышленникам, имеющим прямой или косвенный доступ к этому файлу, выполнять произвольные команды ОС.

Недостаточная аутентификация на платформах, где экземпляры Junos OS работают в виртуализированной среде, может позволить пользователям без привилегий в экземпляре Junos OS получить доступ к хост-операционной среде и, таким образом, повысить привилегии. Уязвимые выпуски: Juniper Networks Junos OS 14.1X53 до 14.1X53-D40 на QFX5110, QFX5200, QFX10002, QFX10008, QFX10016, EX4600 и NFX250; 15.1 до 15.1R5 на EX4600; 15.1X49 до 15.1X49-D70 на vSRX, SRX1500, SRX4100, SRX4200; 16.1 до 16.1R2 на EX4600, ACX5000 series. Эта проблема не затрагивает vMX. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.