Symphony
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02157
Распределение по критичности
Критический
2
Высокий
0
Средний
4
Низкий
0
Затронутые диапазоны версий
< 3.3.0< 3.4.7< 3.6.0≤ 3.6.3
Также сопоставлено как (исходные строки): symphony
Топ уязвимостей
CVE-2024-23049Проблема в symphony v.3.6.3 и более ранних версиях позволяет удаленному злоумышленнику выполнить произвольный код через компонент log4j.
CVE-2018-10469b3log Symphony (aka Sym) 2.6.0 позволяет удаленным злоумышленникам загружать и выполнять произвольные JSP-файлы через параметр name[] в URI /upload.
CVE-2019-9142Обнаружена проблема в b3log Symphony (aka Sym) до версии v3.4.7. XSS существует через поля userIntro и userNickname в processor/SettingsProcessor.java.
CVE-2019-17488b3log Symphony (также известная как Sym) до 3.6.0 имеет XSS через заголовок HTTP User-Agent.
CVE-2017-16821b3log Symphony (он же Sym) 2.2.0 имеет XSS в processor/AdminProcessor.java в консоли администратора, как продемонстрировано специально созданным HTTP-заголовком X-Forwarded-For, который неправильно обрабатывается во время отображения IP-адреса клиента в /admin/user/userid.
CVE-2018-16249В Symphony до версии 3.3.0 существует XSS в Title в Post. Идентификатор «articleTitle» хранится в поле JSON «articleTitle» и выполняет полезную нагрузку при доступе к URI /member/test/points, что позволяет проводить удаленные атаки. Любой веб-скрипт или HTML может быть вставлен пользователем, аутентифицированным администратором, через специально созданное имя веб-сайта.