При определенных условиях TMM может перезагрузиться и создать файл core при обработке данных APM в BIG-IP 13.0.1 или 13.1.0.4-13.1.0.7.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2020. Notes: none

Версии ONTAP 9 9.12.1P8, 9.13.1P4 и 9.13.1P5 подвержены уязвимости, которая приведет к тому, что все SAS-подключенные диски FIPS 140-2 будут разблокированы после перезагрузки или выключения системы, или один SAS-подключенный диск FIPS 140-2 будет разблокирован после повторной установки. Это может привести к раскрытию конфиденциальной информации злоумышленнику, имеющему физический доступ к разблокированным дискам.

Неправильный контроль генерации кода (внедрение кода) уязвимость в TienCOP WP EXtra. Эта проблема затрагивает WP EXtra: от n/a до 6.2.

TabberNeue is a MediaWiki extension that allows the wiki to create tabs. Starting in version 3.0.0 and prior to version 3.1.1, any user can insert arbitrary HTMLinto the DOM by inserting a payload into any allowed attribute of the `<tabber>` tag. Version 3.1.1 contains a patch for the bug.

Уязвимость SQL-инъекции в Jeecg-boot v.3.5.0 и более ранних версиях позволяет локальному злоумышленнику вызвать отказ в обслуживании через функции Benchmark, PG_Sleep, DBMS_Lock.Sleep, Waitfor, DECODE и DBMS_PIPE.RECEIVE_MESSAGE.

Google Chrome до 6.0.472.59 неправильно реализует геолокацию, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать иное неуказанное воздействие через неизвестные векторы.

activerecord/lib/active_record/relation/query_methods.rb в Active Record в Ruby on Rails 4.0.x до 4.0.9 и 4.1.x до 4.1.5 позволяет удаленным злоумышленникам обходить механизм защиты strong parameters через специально созданный ввод в приложение, которое выполняет вызовы create_with.

Множественные уязвимости SQL-инъекций в Keystone Digital Library Suite (DLS) 1.5.4 и более ранних версиях позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через параметр subject_type_id в (1) индексной странице и (2) модуле поиска.

TopQuadrant TopBraid EDG небезопасно хранит внешние учетные данные. Аутентифицированный злоумышленник с доступом к файловой системе может прочитать edg-setup.properites и получить секрет для расшифровки внешних паролей, хранящихся в edg-vault.properties. Аутентифицированный злоумышленник может получить доступ к файловой системе с использованием другой уязвимости, такой как CVE-2024-45745. По крайней мере, версия 7.1.3 затронута. Версия 7.3 добавляет интеграцию HashiCorp Vault, которая не хранит внешние пароли локально. Версия 8.3.0 выдает предупреждение при использовании секретов в открытом виде.

Уязвимость межсайтового скриптинга (XSS) в интерфейсе /bumph/getDraftListPage?type JFinalOA до v2025.01.01 позволяет злоумышленникам выполнять произвольные веб-скрипты или HTML через специально созданную полезную нагрузку.

Уязвимость межсайтового скриптинга (XSS) в функции to_json (ActiveRecord::Base#to_json) в Ruby on Rails до edge 9606 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт через входные значения.

Неуказанная уязвимость в Oracle PeopleSoft Enterprise HRMS 9.0 Update 2011-B и 9.1 Update 2011-B позволяет удаленным аутентифицированным пользователям влиять на конфиденциальность и целостность через неизвестные векторы, связанные с Global Payroll Core.

Cross Site Scripting vulnerability in Contribsys Sidekiq v.6.5.8 allows a remote attacker to obtain sensitive information via a crafted payload to the uniquejobs function.

В injectInputEventToInputFilter в AccessibilityManagerService.java существует возможный произвольный ввод событий из-за отсутствия проверки разрешений. Это может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем.

sendfax.php в iFAX AvantFAX до версии 3.3.6 и HylaFAX Enterprise Web Interface до версии 0.2.5 позволяет аутентифицированным пользователям осуществлять Command Injection.

Описание: Проблема с разрешениями была решена путем улучшения проверки. Эта проблема устранена в iOS 15.2 и iPadOS 15.2. Локальный злоумышленник может прочитать конфиденциальную информацию.

Команда Team ENVY, занимающаяся исследованиями в области безопасности, обнаружила уязвимость, позволяющую удаленно выполнить код на NVR. Если злоумышленник не вводит никаких значений для определенного параметра URL, произойдет разыменование нулевого указателя, и NVR перезагрузится. Производитель выпустил патч для прошивки, устраняющий эту уязвимость. Для получения подробной информации и обходных путей, пожалуйста, обратитесь к отчету производителя.

Функция App Container в драйверах режима ядра в Microsoft Windows 8, Windows Server 2012 и Windows RT позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа и получать конфиденциальную информацию из другого контейнера через приложение-троян, также известная как "Уязвимость повышения привилегий App Container".

Ошибка внедрения PHP-объекта в profile.php в qcubed (все версии, включая 3.1.1) десериализует ненадежные данные POST-переменной "strProfileData" и позволяет неаутентифицированному злоумышленнику выполнять код через специально созданный POST-запрос.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2020. Notes: none.