Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2017. Notes: none

Оборудование NVIDIA GPU и Tegra содержит уязвимость во внутреннем микроконтроллере, которая может позволить пользователю с повышенными привилегиями получить доступ к информации из неочищенной памяти, что может привести к раскрытию информации.

Неправильная нейтрализация ввода во время генерации веб-страницы (XSS или Cross-site Scripting) в B.M. Rafiul Alam Awesome Contact Form7 for Elementor позволяет осуществить Stored XSS. Эта проблема затрагивает Awesome Contact Form7 for Elementor: от n/a до 3.0.

Повреждение памяти, приводящее к потенциально используемому сбою во время функций WebGL, использующих векторный конструктор с изменяющимся массивом в libGLES. Эта уязвимость затрагивает Firefox < 50.1, Firefox ESR < 45.6 и Thunderbird < 45.6.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was in a CNA pool that was not assigned to any issues during 2022. Notes: none.

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Notes: none

Teluu PJSIP версии 2.7.1 и более ранние версии содержат уязвимость Integer Overflow в анализе pjmedia SDP, что может привести к сбою. Эта атака, по-видимому, может быть использована путем отправки специально созданного сообщения. Эта уязвимость, по-видимому, была исправлена в версии 2.7.2.

Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию на затронутых установках PDF-XChange Editor. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в парсинге JP2 файлов. Сформированные данные в JP2 файле могут вызвать чтение за пределами выделенного буфера. Злоумышленник может использовать это в сочетании с другими уязвимостями для выполнения произвольного кода в контексте текущего процесса. Были ZDI-CAN-17674.

Обнаружена уязвимость в OpenShift API, так как проверки допуска не обеспечивают соблюдение разрешений "custom-host". Эта проблема может позволить злоумышленнику нарушить границы, так как разрешения не будут применяться.

В swftools до версии 20200710 обнаружена проблема. Разыменование нулевого указателя существует в функции callcode(), расположенной в code.c. Это позволяет злоумышленнику вызвать отказ в обслуживании.

toolbaru.dll в ICQ Toolbar (ICQToolbar) 2.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой панели инструментов) через длинный аргумент метода (1) RequestURL, (2) GetPropertyById или (3) SetPropertyById, что является другим вектором, чем CVE-2008-7135.

Уязвимость удаленного выполнения кода при анализе PNT-файлов в IrfanView из-за записи за пределами выделенной области памяти. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках IrfanView. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, поскольку целевой пользователь должен посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует при анализе PNT-файлов. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Идентификатор ZDI-CAN-23969.

Уязвимость, классифицированная как проблематичная, была обнаружена в DedeCMS 5.7. Это затрагивает неизвестную часть файла /src/dede/sys_group_add.php. Манипуляция приводит к межсайтовой подделке запросов. Атаку можно инициировать удаленно. Эксплойт был обнародован и может быть использован. Этой уязвимости был присвоен идентификатор VDB-263313. ПРИМЕЧАНИЕ: С поставщиком связались на ранней стадии по поводу этого раскрытия информации, но он никак не отреагировал.

Множественные уязвимости межсайтового скриптинга (XSS) в образцах скриптов Cache' Server Page (CSP) в InterSystems Cache' позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через (1) параметр TO в loop.csp, (2) параметр VALUE в cookie.csp и (3) параметр PAGE в showsource.csp в csp/samples/; и позволяют удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через (4) параметр ERROR в csp/samples/xmlclasseserror.csp и неуказанные векторы в (5) object.csp и (6) lotteryhistory.csp в csp/samples/.

Kibana до версий 4.5.4 и 4.1.11, когда для ведения журнала настроен пользовательский вывод, файлы cookie и заголовки авторизации могут быть записаны в файлы журналов. Эта информация может быть использована для перехвата сеансов других пользователей при использовании Kibana за какой-либо формой аутентификации, такой как Shield.

Mozilla Firefox позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) через специально созданное изображение, как показано в тестовом примере zzuf lol-firefox.gif.

Неправильная нейтрализация ввода во время генерации веб-страницы (межсайтовый скриптинг) в Wouter Dijkstra DD Rating позволяет выполнять сохраненный XSS. Эта проблема затрагивает DD Rating: от n/a до 1.7.1.

Dell Encryption версий до 10.8 и Dell Endpoint Security Suite версий до 2.8 содержат уязвимость повышения привилегий из-за неполного исправления CVE-2020-5358. Локальный злоумышленник с низкими привилегиями может потенциально использовать эту уязвимость для получения повышенных привилегий в затронутой системе с помощью символической ссылки.

Удаленные злоумышленники могут вызвать отказ в обслуживании в Novell BorderManager 3.5, нажав клавишу Enter в telnet-соединении с портом 2000.

Плагин Simple Job Board для WordPress уязвим для несанкционированного доступа к данным из-за недостаточной проверки авторизации в функции fetch_quick_job() во всех версиях до версии 2.10.8 включительно. Это позволяет неаутентифицированным злоумышленникам получать произвольные записи, которые могут быть защищены паролем или быть частными и содержать конфиденциальную информацию.

Уязвимость межсайтовой подделки запросов существует в Activity Log WinterLock версий до 1.2.5. Если пользователь просматривает вредоносную страницу, будучи залогиненным, данные журнала могут быть удалены.