Relate
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.01109
Распределение по критичности
Критический
0
Высокий
6
Средний
1
Низкий
1
Затронутые диапазоны версий
< 2024.1< 2f68e16cd3b96d25c188c1aa3f7e13cdb15cdaeb≤ 2024.1≤ 2026.1
Также сопоставлено как (исходные строки): relate
Топ уязвимостей
CVE-2024-32407Проблема в inducer relate до v.2024.1 позволяет удаленному злоумышленнику выполнять произвольный код через специально созданную полезную нагрузку в функцию Page Sandbox.
CVE-2026-47161RELATE - это веб-пакет курсов. До совершения d66ba5659b459bf1ba56b7f9b5f9ecf197cbfbb, RELATE LMS конфигурирует своих работников сельдерея для приема и десеризации ненадежных «мизерных» данных. Злоумышленник, который может связаться с брокером сообщений, может выполнять произвольные команды на сервере хостов. В сочетании с отсутствием изоляции сети в песочнице для выполнения кода это позволяет аутентифицированному студенту достичь полного выполнения удаленного кода (RCE) в системе хостов. Компиляция d66ba5659b459bf1ba56b709b5f9ecf197cbf19cbfb устраняет проблему.
CVE-2026-42197RELATE - это веб-пакет курсов. Версии до совершения 555f0efb1c5bd7531c07c07d73724d7d766a81f620 имеют сохраненную уязвимость сценариев, которая позволяет любому зачисленному студенту выполнять произвольный JavaScript в сеансе браузера администратора, что может привести к полному захвату учетной записи администратора. Метод `get_user()` в `ParticipationAdmin` отображает управляемый пользователем вход с использованием `mark_safe` в сочетании с форматированием строк Python %. Это полностью обходит автоматический побег HTML Django\. Значение, возвращаемое `get_full_name`, происходит непосредственно из полей «first_name`» и `last_name` модели Пользователя. Эти поля свободно редактируются любым аутентифицированным пользователем через страницу профиля (`/profile/`) без применения санитарии. Когда администратор просматривает список участников в админ-панели Django, несанцинизированное значение передается непосредственно в ответ HTML, в результате чего введенный скрипт выполняется в браузере администратора. Компиляция 555f0efb1c5bd7531c07cd73724d7e566a81f620 устраняет проблему.
CVE-2026-41505RELATE - это веб-пакет курсов. Перед совершением 2f68e16, RELATE уязвим для предсказуемого генерирования токенов в функции auth.py make_sign_in_key() и функции exam.py gen_ticket_code(). Эта проблема была исправлена с помощью декватных 2f68e16.
CVE-2026-41588RELATE - это веб-пакет курсов. Перед совершением 2f68e16 существует уязвимость атаки по времени в Course/auth.py — check_sign_in_key(). Эта проблема была исправлена через commit 2f68e16.
CVE-2024-32406Уязвимость Server-Side Template Injection (SSTI) в inducer relate до v.2024.1 позволяет удаленному злоумышленнику выполнять произвольный код через специально созданную полезную нагрузку в функцию Batch-Issue Exam Tickets.
CVE-2024-32404Уязвимость Server-Side Template Injection (SSTI) в inducer relate до v.2024.1 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданную полезную нагрузку в функцию Markup Sandbox.
CVE-2024-32405Уязвимость Cross Site Scripting в inducer relate до v.2024.1 позволяет удаленному злоумышленнику повысить привилегии через специально созданную полезную нагрузку в поле Answer параметра InlineMultiQuestion в функции Exam.