Неуказанная уязвимость в компоненте Oracle OpenSSO в Oracle Fusion Middleware 8.0 Update 2 Patch 5 позволяет удаленным аутентифицированным пользователям влиять на конфиденциальность через неизвестные векторы.

Неограниченная загрузка файлов с опасным типом в J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus. Эта проблема затрагивает WP Photo Album Plus: от n/a до 8.7.01.001.

Переполнение буфера на основе стека в Visual IRC (ViRC) 2.0 позволяет удаленным IRC-серверам выполнять произвольный код через длинный ответ на команду JOIN.

Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority because it is Unused

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2009. Notes: none

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2020. Notes: none.

В смартфонах существует целочисленное переполнение программного обеспечения, приводящее к состоянию TOCTOU. Успешная эксплуатация этой уязвимости может привести к случайному доступу к адресу.

В H3C Magic R300 версии R300-2100MV100R004 обнаружено переполнение стека через интерфейс AddMacList по адресу /goform/aspForm.

Множественные уязвимости обхода каталогов в sflog! 0.96 позволяют удаленным злоумышленникам читать произвольные файлы через .. (две точки) в параметре (1) permalink или (2) section в index.php, возможно, включая includes/entries.inc.php и другие файлы, включенные в index.php.

Множественные уязвимости межсайтового скриптинга (XSS) в cgi-bin/webcm в D-Link DSL-G624T firmware 3.00B01T01.YA-C.20060616 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) upnp:settings/state или (2) upnp:settings/connection.

KNX ETS5 до версии 5.7.6 использует жестко запрограммированный пароль ETS5Password с солью Ivan Medvedev, что позволяет локальным пользователям читать информацию о проекте. ПРИМЕЧАНИЕ: эта уязвимость затрагивает только продукты, которые больше не поддерживаются сопровождающим.

index.php в FlatNuke 2.5.1 позволяет удаленным злоумышленникам создавать учетную запись администратора через символы возврата каретки и #10 в поле url_avatar, которое интерпретируется как конфиденциальная директива.

SAP GUI (Sapgui) 4.6D позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) через подключение к порту с большим номером, которое генерирует ошибку "неизвестные данные подключения".

httparty gem 0.9.0 и более ранние версии для Ruby неправильно ограничивают приведение строковых значений, что может позволить удаленным злоумышленникам проводить атаки с внедрением объектов и выполнять произвольный код или вызывать отказ в обслуживании (потребление памяти и ЦП) путем использования поддержки Action Pack для преобразования типов YAML, что является аналогичной уязвимостью CVE-2013-0156.

IBM AIX 7.2, 7.3, IBM VIOS 3.1, and 4.1, when configured to use Kerberos network authentication, could allow a local user to write to files on the system with root privileges due to improper initialization of critical variables.

Проблема обнаружена в определенных продуктах Apple. iOS до версии 11.1 подвержена уязвимости. Safari до версии 11.0.1 подвержен уязвимости. iCloud до версии 7.1 в Windows подвержен уязвимости. iTunes до версии 12.7.1 в Windows подвержен уязвимости. tvOS до версии 11.1 подвержен уязвимости. Проблема связана с компонентом "WebKit". Она позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти и аварийное завершение приложения) через специально созданный веб-сайт.

Функция dev_load в net/core/dev.c в ядре Linux до версии 2.6.38 позволяет локальным пользователям обходить предполагаемое требование возможности CAP_SYS_MODULE и загружать произвольные модули, используя возможность CAP_NET_ADMIN.

EMC PowerPath Virtual Appliance (aka vApp) до версии 2.0 имеет пароли по умолчанию для учетных записей (1) emcupdate и (2) svcuser, что упрощает удаленным злоумышленникам получение потенциально конфиденциальной информации через сеанс входа в систему.

Уязвимость межсайтового скриптинга (XSS) в Sources/Register.php в Simple Machine Forum (SMF) 1.0.6 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле заголовка HTTP X-Forwarded-For.

В Chengdu Flash Flood Disaster Monitoring and Warning System 2.0 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает неизвестный код файла /App_Resource/UEditor/server/upload.aspx. Манипулирование аргументом file приводит к неограниченной загрузке. Эксплойт был обнародован и может быть использован. VDB-235066 - идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия информации, но он никак не отреагировал.

A vulnerability has been identified in TeleControl Server Basic V3.1 (All versions >= V3.1.2.2 < V3.1.2.3). The affected application contains an information disclosure vulnerability. This could allow an unauthenticated remote attacker to obtain password hashes of users and to login to and perform authenticated operations of the database service.