Проблема обнаружена в WSO2 API Manager 2.6.0. Потенциальная сохраненная уязвимость межсайтового скриптинга (XSS) была выявлена на странице встроенного редактора документации API API Publisher.

Некоторые мобильные телефоны Huawei Honor 6X Berlin-L22C636B150 и более ранних версий имеют уязвимость обхода разблокировки Bluetooth. Если пользователь включил функцию интеллектуальной разблокировки, злоумышленник может выдать себя за Bluetooth-устройство пользователя, чтобы разблокировать экран мобильного телефона пользователя. Мобильные телефоны Huawei имеют уязвимость обхода разблокировки Bluetooth из-за отсутствия проверки Bluetooth-устройств. Если пользователь включил функцию интеллектуальной разблокировки, злоумышленник может выдать себя за Bluetooth-устройство пользователя, чтобы разблокировать экран мобильного телефона пользователя.

Агент в Microsoft SQL Server 2012 SP2, 2012 SP3, 2014 SP1, 2014 SP2 и 2016 неправильно проверяет ACL atxcore.dll, что позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, также известную как "Уязвимость повышения привилегий агента SQL Server".

В eScan Antivirus 14.0.1400.2029 файл драйвера (econceal.sys) позволяет локальным пользователям вызывать отказ в обслуживании (BSOD) или, возможно, оказывать другое неуказанное воздействие из-за непроверки входных значений из IOCtl 0x830020E0 или 0x830020E4.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2019. Notes: none

Неуказанная уязвимость в модуле Sender в HP Remote Graphics Software (RGS) 5.1.3 до 5.2.6 позволяет удаленным аутентифицированным пользователям выполнять произвольный код через неизвестные векторы.

Неуказанная уязвимость в компоненте Dictionary в Oracle Database 8.1.7.4, 9.0.1.5 и 9.2.0.6 имеет неизвестные последствия и векторы атак, также известные как Oracle Vuln# DB05.

Функциональность PDF в Google Chrome до версии 21.0.1180.57 в Mac OS X и Linux и до версии 21.0.1180.60 в Windows и Chrome Frame позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое не указанное воздействие через векторы, которые вызывают операции записи за пределами выделенной памяти.

SD ROM Utility, версии до 1.0.2.0, содержат уязвимость неправильного контроля доступа. Злоумышленник с низкими привилегиями может использовать эту уязвимость для выполнения произвольного кода с ограниченным доступом.

В SourceCodester Online Library System 1.0 обнаружена уязвимость. Она была классифицирована как критическая. Это затрагивает неизвестную часть файла admin/borrowed/index.php. Манипуляция аргументом BookPublisher/BookTitle приводит к SQL-инъекции. Можно инициировать атаку удаленно. Соответствующий идентификатор этой уязвимости - VDB-259467.

Конфиденциальный файл cookie в сеансе HTTPS без атрибута 'Secure' в репозитории GitHub thorsten/phpmyfaq до версии 3.1.9.

Отраженная XSS в плагине wordpress tidio-gallery v1.1.

Emacs 20 неправильно устанавливает разрешения для подчиненного устройства PTY при запуске нового подпроцесса, что позволяет локальным пользователям читать или изменять коммуникации между Emacs и подпроцессом.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2016. Notes: none

Неправильный контроль доступа в некотором программном обеспечении Intel(R) EMA до версии 1.13.1.0 может позволить аутентифицированному пользователю потенциально включить повышение привилегий через локальный доступ.

Уязвимость межсайтового скриптинга (XSS) в Maid Hiring Management System v1.0 позволяет злоумышленникам выполнять произвольные веб-скрипты или HTML через специально созданную полезную нагрузку, внедренную в параметр Title компонента /admin/contactus.php.

Аутентификация. (администратор+) Сохраненная уязвимость межсайтового скриптинга (XSS) в плагине realmag777 WOLF – WordPress Posts Bulk Editor and Manager Professional <= 1.0.7.1 версий.

Множественные уязвимости обхода каталогов в TikiWiki 1.9.8.1 и более ранних версиях позволяют удаленным злоумышленникам включать и выполнять произвольные файлы через абсолютный путь в параметрах (1) error_handler_file и (2) local_php в (a) tiki-index.php или (3) закодированные последовательности "..%2F" в параметре imp_language в tiki-imexport_languages.php.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate is unused by its CNA. Notes: none.

IBM Security Verify Access Docker 10.0.0 - 10.0.6 может позволить локальному пользователю повысить свои привилегии из-за выполнения ненужных привилегий. IBM X-Force ID: 292418.

OpenConnect до версии 2.25 неправильно проверяет сертификаты X.509, что позволяет злоумышленникам, находящимся посередине, подделывать произвольные AnyConnect SSL VPN-серверы через специально созданный сертификат сервера, который (1) не соответствует имени хоста сервера или (2) представлен в обстоятельствах, связанных с отсутствующей опцией конфигурации --cafile.