Переполнение буфера в MiniSmtp 3.0.11818 в NJStar Communicator позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный пакет.

Отсутствие ограничения частоты в функции 'Забыли пароль' программного обеспечения PHPJabbers Cleaning Business Software версии 1.0 позволяет атакующим отправлять чрезмерное количество email-сообщений для законного пользователя, что может привести к возможной атаке типа Denial of Service (DoS) из-за большого количества сгенерированных сообщений.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2019. Notes: none

Потенциальная уязвимость переполнения буфера off-by-one в файловой системе Zephyr fuse.

Неправильная нейтрализация специальных элементов, используемых в SQL-команде (SQL-инъекция) уязвимость в SeedProd LLC SeedProd Pro позволяет осуществить SQL-инъекцию. Эта проблема затрагивает SeedProd Pro: от n/a до 6.18.10.

В Progress WS_FTP Server до версии 8.7.3 в административном веб-интерфейсе существует несколько отраженных уязвимостей межсайтового скриптинга (XSS). Удаленный злоумышленник может внедрить произвольный JavaScript в веб-сессию администратора WS_FTP. Это позволит злоумышленнику выполнять код в контексте браузера жертвы.

Уязвимость межсайтовой подделки запросов (CSRF) в WPClever WPC Product Bundles for WooCommerce. Эта проблема затрагивает WPC Product Bundles for WooCommerce: от n/a до 7.3.1.

SibSoft Xfilesharing до версии 2.5.1 позволяет cgi-bin/up.cgi загружать произвольные файлы. Это можно объединить с CVE-2019-18951 для достижения удаленного выполнения кода через .html-файл, содержащий короткие коды, который обслуживается по HTTP.

Уязвимость в iPlanet Web Server 4.X в HP-UX 11.04 (VVOS) с VirtualVault A.04.00 позволяет удаленному злоумышленнику вызвать отказ в обслуживании через службу HTTPS.

Уязвимость была обнаружена в MicroWorld eScan Antivirus 7.0.32 на Linux. Она была оценена как критическая. Затрагивает неизвестную функциональность файла /opt/MicroWorld/var/ компонента Installation Handler. Манипуляция приводит к неправильным значениям разрешений по умолчанию. Атаку необходимо проводить локально. Эксплойт был раскрыт общественности и может быть использован. О производителе было сообщено заранее о данном раскрытии, но он никак не отреагировал.

Jenkins 2.274 и более ранние версии, LTS 2.263.1 и более ранние версии некорректно сопоставляют запрошенные URL-адреса со списком всегда доступных путей, что позволяет злоумышленникам без разрешения Overall/Read получать доступ к некоторым URL-адресам, как если бы у них было разрешение Overall/Read.

Уязвимость межсайтового скриптинга (XSS) в ZOHO ManageEngine ServiceDesk Plus до версии 9.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.

В JetBrains IntelliJ IDEA до версии 2021.1 была возможна DoS-атака из-за неограниченного выделения ресурсов.

Уязвимость удаленного включения файлов PHP в index.php в lite-cms 0.2.1 позволяет удаленным злоумышленникам выполнять произвольный код PHP через URL в параметре inc.

Плагин Elementor Addon Elements для WordPress уязвим для хранения межсайтового скриптинга через атрибут 'button1_icon' виджета Dual Button во всех версиях до 1.12.12 включительно из-за недостаточной очистки ввода и экранирования вывода. Это позволяет прошедшим проверку подлинности злоумышленникам с уровнем доступа не ниже участника внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.

В GStreamer до версии 1.26.1 функция parse_subrip_time плагина subparse может записывать данные за пределами стека, что приводит к краху. Эта проблема была устранена в выпуске gst-plugins-base и gst-plugins-good версии 1.26.2 [1][2]. Источники: - [1] https://gstreamer.freedesktop.org/security/ - [2] https://github.com/atredispartners/advisories/blob/master/2025/ATREDIS-2025-0003.md

Множественные SQL injection уязвимости в MGinternet Property Site Manager позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через (1) параметр p для (a) detail.asp; (2) параметр l, (3) typ или (4) loc для (b) listings.asp; или (5) параметр Password или (6) Username для (c) admin_login.asp. ПРИМЕЧАНИЕ: некоторые из этих деталей получены из сторонней информации.

Уязвимость use-after-free в Google Chrome до версии 14.0.835.163 позволяет удаленным злоумышленникам вызывать отказ в обслуживании или, возможно, оказывать другое не указанное воздействие через векторы, связанные со стилями таблиц.

Уязвимость межсайтовой подделки запросов (CSRF) в Saas Disabler допускает межсайтовую подделку запросов. Эта проблема затрагивает Disabler: с версии n/a по 3.0.3.

Функция "Сжатые папки" в Microsoft Windows 98 с Plus! Pack, Windows Me и Windows XP неправильно проверяет целевую папку во время распаковки ZIP-файлов, что позволяет злоумышленникам разместить исполняемый файл в известном месте в системе пользователя, также известное как "Неправильный целевой путь для распаковки ZIP-файла".

Уязвимость SQL-инъекции в admin/default.asp в Jetstat.com JS ASP Faq Manager 1.10 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр uid, другой вектор, чем CVE-2006-4463. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; подробности получены из информации третьих сторон.