Open Xdmod
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02514
Распределение по критичности
Критический
3
Высокий
2
Средний
2
Низкий
0
Затронутые диапазоны версий
9.5.0–11.0.3< 10.0.3< 11.0.3< 8.0.0≤ 7.5.0
Также сопоставлено как (исходные строки): open_xdmod
Топ уязвимостей
CVE-2018-16988Обнаружена проблема в Open XDMoD до версии 7.5.0. Существует обход аутентификации (захват учетной записи) из-за слабого механизма сброса пароля. Атака грубой силой против MD5 rid требует всего 600 предположений в правдоподобной ситуации, когда злоумышленник знает, что жертва начала процесс сброса пароля (pass_reset.php, password_reset.php, XDUser.php) в последние несколько минут.
CVE-2026-45779OpenXDMoD - это открытая основа для сбора и анализа показателей HPC. Уязвимость инъекций SQL существует в версиях Open XDMoD до 10.0.3, что позволяет удаленному злоумышленнику без аутентификации выполнять произвольные SQL-высказывателей. Эксплуатация не требует аутентификации или взаимодействия с пользователем и может привести к полной компрометации базовой базы данных. Все развертывания Open XDMoD до 10.0.3 затронуты. Этот вопрос был обнаружен 2023-08-03 и исправлен 2023-08-04. В настоящее время нет никаких доказательств того, что эта уязвимость была использована в дикой природе. Уязвимость была исправлена в Open XDMoD 10.0.3 на 2023-08-04. В качестве обходного действия применяйте патч вручную.
CVE-2026-45777OpenXDMoD - это открытая основа для сбора и анализа показателей HPC. Начиная с версии 9.5.0 и до версии 11.0.3, злоумышленник может удаленно выполнять произвольные системные команды на веб-сервере, хостинге Open XDMoD, с привилегиями процесса веб-сервера. Это может позволить злоумышленнику считывать или изменять данные приложения, изменять конфигурацию системы или нарушать доступность службы. Все развертывания Open XDMoD версий 9.5.0 до 11.0.2 (включительно) затронуты. Эта проблема была зарегистрирована в частном порядке 2026-04-06, и в настоящее время нет никаких доказательств того, что эта уязвимость была использована в дикой природе. Уязвимость была исправлена в Open XDMoD 11.0.3 на 2026-05-12. В качестве обходного действия применяйте патч вручную.
CVE-2026-45778OpenXDMoD - это открытая основа для сбора и анализа показателей HPC. До версии 11.0.3 аутентифицированный злоумышленник может вводить вредоносный JavaScript в свой профиль пользователя Open XDMoD и злоупотреблять функциональностью сброса пароля, чтобы отправить ссылку на HTML-страницу, которая при посещении жертвой отражает и выполняет недезинфицированную полезную нагрузку в браузере жертвы, что потенциально приводит к захвату учетных данных и поглощению учетной записи XDMoD. Все развертывания Open XDMoD до 11,0.3 затронуты. Эта проблема была зарегистрирована в частном порядке 2026-04-06, и в настоящее время нет никаких доказательств того, что эта уязвимость была использована в дикой природе. Уязвимость была исправлена в Open XDMoD 11.0.3 на 2026-05-12. В качестве обходного действия применяйте патч вручную.
CVE-2018-16961В Open XDMoD до версии 7.5.0 html/gui/general/dl_publication.php допускает обход пути через параметр file, позволяя удаленным злоумышленникам читать PDF-файлы в произвольных каталогах.
CVE-2018-16960В Open XDMoD до версии 7.5.0 html/gui/general/login.php имеет отраженный XSS через параметр xd_user_formal_name.
CVE-2026-45776OpenXDMoD - это открытая основа для сбора и анализа показателей HPC. До версии 11.0.3 недостаток в логике контроля доступа Open XDMoD позволяет злоумышленнику подавать созданный запрос HTTPS POST, который устанавливает переменную сеанса, используемую для принятия решений об авторизации. Если установка Open XDMoD включает в себя дополнительный модуль производительности труда (SUPReMM), злоумышленник может обойти предполагаемые ограничения доступа к данным и просматривать показатели эффективности работы других пользователей. Все развертывания Open XDMoD до версии 11.0.3, которые содержат дополнительный модуль Job Performance (SUPreMM), подвергаются воздействию. Эта проблема была зарегистрирована в частном порядке 2026-04-06, и в настоящее время нет никаких доказательств того, что эта уязвимость была использована в дикой природе. Уязвимость была исправлена в Open XDMoD 11.0.3 на 2026-05-12. В качестве обходного действия применяйте патч вручную.