IrfanView 4.53 позволяет данным из неисправного адреса управлять последующим адресом записи, начиная с FORMATS!Read_BadPNG+0x0000000000000101.

DCS-5000L v1.05 и DCS-932L v2.17 и более старые версии подвержены неправильному контролю доступа. Использование базовой аутентификации для интерфейса команд устройств допускает векторы атак, которые могут скомпрометировать конфигурацию камер и позволить злонамеренным пользователям в локальной сети получить доступ к устройству. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются мейнтейнером.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2016. Notes: none

Уязвимость внедрения CRLF в fvwm-menu-directory для fvwm 2.5.x до 2.5.10 и 2.4.x до 2.4.18 позволяет локальным пользователям выполнять произвольные команды через возвраты каретки в имени файла.

В GPAC версии 0.8.0 обнаружена проблема. Происходит разыменование нулевого указателя в функции gf_m2ts_stream_process_pmt() в media_tools/m2ts_mux.c.

Phorum версий 3.4 - 3.4.2 позволяет удаленным злоумышленникам получить полный путь к веб-серверу через некорректный HTTP-запрос к (1) smileys.php, (2) quick_listrss.php, (3) purge.php, (4) news.php, (5) memberlist.php, (6) forum_listrss.php, (7) forum_list_rdf.php, (8) forum_list.php или (9) move.php, который раскрывает информацию в сообщении об ошибке.

Проблема была обнаружена в Asterisk до версии 19.x. При использовании STIR/SHAKEN можно загружать файлы, не являющиеся сертификатами. Эти файлы могут быть намного больше, чем можно было бы ожидать для загрузки, что приведет к исчерпанию ресурсов. Это исправлено в версиях 16.25.2, 18.11.2 и 19.3.2.

Проблема использования после освобождения существует в процедуре чтения DGN-файлов в Drawings SDK (все версии до 2022.4) из-за отсутствия надлежащей проверки предоставленных пользователем данных. Это может привести к повреждению памяти или выполнению произвольного кода, позволяя злоумышленникам вызвать состояние отказа в обслуживании или выполнить код в контексте текущего процесса.

Спецификация Adobe PDF 1.3, реализованная Adobe Acrobat до версии 8.0.0, позволяет удаленным злоумышленникам оказывать неизвестное воздействие, возможно, включая отказ в обслуживании (бесконечный цикл), выполнение произвольного кода или повреждение памяти, через PDF-файл с (1) специально созданным словарем каталога или (2) специально созданным атрибутом Pages, который ссылается на недопустимый узел дерева страниц.

Проблема была обнаружена в Comcast Defined Technologies microeisbss до 2021 года. Злоумышленник может внедрить сохраненную полезную нагрузку XSS в поле Device ID в разделе Inventory Management для достижения удаленного выполнения кода и повышения привилегий.

В InstallPackage в package.cpp возможен обход проверки подписи из-за условия Time of Check/Time of Use. Это может привести к локальному повышению привилегий, позволяющему обойти первоначальную проверку подписи zip-файла для обновления ОС без дополнительных прав выполнения. Для эксплуатации требуется взаимодействие с пользователем. Продукт: Android. Версии: Android-10. Android ID: A-136498130.

В Webmin до 1.910 любой пользователь, имеющий авторизацию для модуля "Package Updates", может выполнять произвольные команды с правами root через параметр data в update.cgi.

Множественные (13x) уязвимости межсайтовой подделки запросов (CSRF) в плагине Subscribe To Comments Reloaded WPKube <= 211130 на WordPress позволяют злоумышленникам очищать архив журнала, загружать файл системной информации, настройки системного плагина, настройки параметров плагина, генерировать новый ключ, сбрасывать все параметры, изменять настройки уведомлений, настройки страницы управления, настройки формы комментария, управлять подписками > массовое обновление параметров, управлять подписками > добавление новой подписки, обновление подписки, удаление подписки.

В решениях Meon KYC существует уязвимость из-за недостаточной проверки Captcha на стороне сервера в определенных API-эндпоинтах. Злоумышленник может обойти механизм проверки Captcha, перехватив запрос и удалив параметр Captcha. Источники: - [1] https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0082

Уязвимость SQL-инъекции в search.php в Neturf eCommerce Shopping Cart позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр SearchFor. ПРИМЕЧАНИЕ: некоторые из этих сведений получены от третьих лиц.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2019-15679. Reason: This candidate is a duplicate of CVE-2019-15679. Notes: All CVE users should reference CVE-2019-15679 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage.

Zcash 2.x допускает недорогой подход к "заполнению всех транзакций всех блоков" и "предотвращению возникновения каких-либо реальных транзакций" с помощью атаки "Sapling Wood-Chipper".

Уязвимость 'Missing Authorization' в плагине Crypto Cloud CryptoCloud - Crypto Payment Gateway позволяет эксплуатировать неправильно настроенные уровни безопасности контроля доступа. Эта проблема затрагивает CryptoCloud - Crypto Payment Gateway версии 2.1.2 и ранее [1]. Уязвимость связана с отсутствием проверки авторизации, аутентификации или проверки nonce-токена в функции, что может привести к выполнению действий с повышенными привилегиями неавторизованным пользователем [1]. Рекомендуется немедленно удалить и заменить программное обеспечение, поскольку оно, скорее всего, не поддерживается и не будет получать дальнейших обновлений или исправлений [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/cryptocloud-crypto-payment-gateway/vulnerability/wordpress-cryptocloud-crypto-payment-gateway-2-1-2-broken-access-control-vulnerability?_s_id=cve

A vulnerability, which was classified as problematic, was found in DaiCuo up to 1.3.13. This affects an unknown part of the file /admin.php/addon/index. The manipulation leads to cross-site request forgery. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

IBM WebSphere Portal версий 8.5 и 9.0 уязвим для межсайтового скриптинга. Эта уязвимость позволяет пользователям внедрять произвольный код JavaScript в веб-интерфейс, тем самым изменяя предполагаемую функциональность, что потенциально может привести к раскрытию учетных данных в пределах доверенного сеанса. IBM X-Force ID: 137158.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2017. Notes: none.