Неуказанная уязвимость в Cisco Unified Communications Manager (aka CUCM, ранее CallManager) 6.x до 6.1(5)su2, 7.x до 7.1(5b)su3, 8.x до 8.0(3a)su1 и 8.5 до 8.5(1) позволяет удаленным злоумышленникам вызвать отказ в обслуживании (отключение службы) через SIP INVITE-сообщение, также известной как Bug ID CSCth43256.

resources/public/js/orchestrator.js в openark orchestrator до 3.2.4 допускает XSS через параметр orchestrator-msg.

Переполнение буфера кучи было обнаружено в copy_compressed_bytes в decode_r2007.c в dwgread до версии 0.12.4 через специально созданный dwg-файл.

Уязвимость межсайтовой подделки запросов (CSRF) в Sam Wilson Addressbook допускает Stored XSS. Эта проблема затрагивает Addressbook: от n/a до 1.1.3.

mykdownload.php в MyKtools 2.4 не требует административной аутентификации, что позволяет удаленным злоумышленникам читать резервную копию базы данных, отправляя прямой запрос, а затем отправляя неуказанный запрос на страницу загрузки резервной копии.

В PHPGurukul Emergency Ambulance Hiring Portal 1.0 обнаружена уязвимость, классифицированная как проблематичная. Эта уязвимость затрагивает неизвестный код файла /admin/manage-ambulance.php компонента Manage Ambulance Page. Манипуляция аргументом del приводит к cross-site request forgery. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. VDB-258682 - это идентификатор, присвоенный этой уязвимости.

Internet Explorer с уровнем безопасности ниже среднего позволяет удаленным злоумышленникам выполнять произвольные команды через вредоносную веб-страницу, использующую объект FileSystemObject ActiveX.

IBM Tivoli Key Lifecycle Manager 2.5, 2.6 и 2.7 может позволить удаленному злоумышленнику проводить фишинговые атаки, используя атаку открытого перенаправления. Убедив жертву посетить специально созданный веб-сайт, удаленный злоумышленник может использовать эту уязвимость для подмены отображаемого URL-адреса, чтобы перенаправить пользователя на вредоносный веб-сайт, который будет выглядеть доверенным. Это может позволить злоумышленнику получить конфиденциальную информацию или провести дальнейшие атаки против жертвы. IBM X-Force ID: 133562.

Обнаружена проблема в dbf2txt до 2012-07-19. Это бесконечный цикл.

Уязвимость межсайтовой подделки запросов (CSRF) в admin/agent_edit.asp в PollPro 3.0 позволяет удаленным злоумышленникам создавать или изменять учетные записи как администраторы через параметры username, password и name.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that there was not reasonable evidence to determine the existence of a vulnerability.

A vulnerability was determined in Webull Investing & Trading App 11.2.5.63 on Android. This vulnerability affects unknown code of the file AndroidManifest.xml. This manipulation causes improper export of android application components. The attack can only be executed locally. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.

Directory Services в Apple Mac OS X до версии 10.8.5 Supplemental Update позволяет локальным пользователям обойти аутентификацию на основе пароля и изменить произвольные записи Directory Services через неуказанные векторы.

Real Media RealServer (rmserver) 6.0.3.353 хранит пароль в виде открытого текста в общедоступном файле rmserver.cfg, что позволяет локальным пользователям получать привилегии.

Уязвимость в сценарии установки restore0.9 в NeXT 1.0a и 1.0 позволяет локальным пользователям получать привилегии root.

Уязвимость межсайтового скриптинга (XSS) в функции markup_clean_href в inc/conv.php в BlogoText до версии 3.7.6 позволяет удаленным злоумышленникам внедрять произвольный JavaScript через комментарий.

Уязвимость обхода пути в QSAN Storage Manager позволяет удаленным неаутентифицированным злоумышленникам загружать произвольные файлы путем внедрения пути файла в функцию загрузки. Рекомендуется связаться с QSAN и обратиться к рекомендациям в документации QSAN.

В Juniper Networks Junos Space версий до 16.1R1, когда для кластера Junos Space включена аутентификация на основе сертификатов, некоторые ограниченные веб-службы доступны по сети. Это представляет собой риск утечки информации.

Уязвимость неправильной нейтрализации входных данных при генерации веб-страницы ('Cross-site Scripting') в плагине Admin Menu Post List позволяет выполнить Stored XSS. Эта проблема затрагивает Admin Menu Post List версии до 2.0.7 включительно. Подробности можно найти в источнике [1]. Источники: - [1] https://patchstack.com/database/wordpress/plugin/admin-menu-post-list/vulnerability/wordpress-admin-menu-post-list-2-0-7-cross-site-scripting-xss-vulnerability?_s_id=cve

TUF (aka The Update Framework) до 0.12.1 имеет неправильную проверку криптографической подписи.

Уязвимость межсайтовой подделки запросов (CSRF) в Patreon Patreon WordPress. Эта проблема затрагивает Patreon WordPress: от n/a до 1.8.6.