Windows
Уязвимости
25981
Эксплуатируемые
372
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
1686
Высокий
16052
Средний
7711
Низкий
441
Также сопоставлено как (исходные строки): indesign,windows,pdf_editor,pdf_reader,acrobat_dc,gpu_driver,itunes,portal_for_arcgis,acrobat_reader_dc,icloud,phantompdf,reader
Топ уязвимостей
CVE-2026-48303Adobe Campaign Classic (ACC) версии 7.4.3 build 9394 и ранее подвержены влиянии уязвимости некорректной авторизации, которая может привести к произвольному исполнению кода в контексте текущего пользователя. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата изменена.
CVE-2025-57870В версиях Esri ArcGIS Server 11.3, 11.4 и 11.5 (Windows, Linux, Kubernetes) обнаружена уязвимость типа SQL‑инъекция, позволяющая удалённому неаутентифицированному злоумышленнику выполнять произвольные SQL‑команды через определённую операцию ArcGIS Feature Service. При успешной эксплуатации возможен несанкционированный доступ, изменение или удаление данных из корпоративной геодатабазы. Эта уязвимость устраняется критическим патчем, выпущенным 7 октября 2025 г., который следует установить как можно быстрее; патч не является кумулятивным и не требует наличия других обновлений. Для систем, доступных из Интернета, рекомендуется применить обновленные правила Web Application Firewall (WAF) от Esri (версия 2.2.3), охватывающие как GET, так и POST‑запросы. Патч не затрагивает функции сервисов, использующие только хост‑слои, и не влияет на версии ArcGIS Server 11.2 и более ранние, а также не будет затронут в будущих версиях 12 и выше. Пользователям Kubernetes рекомендуется обновиться до версии 11.5, поскольку для 11.3 и 11.4 патча нет. Информация из источника [1].
Источники:
- [1] https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch
CVE-2025-30416Конфиденциальное раскрытие данных и манипулирование из-за отсутствия авторизации. Затрагиваются следующие продукты: Acronis Cyber Protect 16 (Linux, Windows) перед сборкой 39938, Acronis Cyber Protect 15 (Linux, Windows) перед сборкой 41800.
CVE-2025-30412Чувствительное раскрытие данных и манипулирование в связи с неправильной аутентификацией. Затрагиваются следующие продукты: Acronis Cyber Protect 16 (Linux, Windows) перед сборкой 39938, Acronis Cyber Protect 15 (Linux, Windows) перед сборкой 41800.
CVE-2025-30411Чувствительное раскрытие данных и манипулирование в связи с неправильной аутентификацией. Затрагиваются следующие продукты: Acronis Cyber Protect 16 (Linux, Windows) перед сборкой 39938, Acronis Cyber Protect 15 (Linux, Windows) перед сборкой 41800.
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы.
Исходная уязвимость эксплуатировалась в дикой природе.
*Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2024-24576Rust - это язык программирования. Рабочая группа Rust Security Response WG была уведомлена о том, что стандартная библиотека Rust до версии 1.77.2 неправильно экранировала аргументы при вызове пакетных файлов (с расширениями `bat` и `cmd`) на Windows с использованием `Command`. Злоумышленник, способный контролировать аргументы, передаваемые создаваемому процессу, мог выполнить произвольные команды оболочки, минуя экранирование. Серьезность этой уязвимости критична для тех, кто вызывает пакетные файлы на Windows с ненадежными аргументами. Ни одна другая платформа или использование не затрагиваются.
APIs `Command::arg` и `Command::args` указывают в своей документации, что аргументы передаются создаваемому процессу как есть, независимо от содержания аргументов, и не будут оцениваться оболочкой. Это означает, что передача ненадежного ввода в качестве аргумента должна быть безопасной.
На Windows реализация этого более сложная, чем на других платформах, потому что Windows API предоставляет только одну строку, содержащую все аргументы для создаваемого процесса, и именно от самого создаваемого процесса зависит их разделение. Большинство программ используют стандартное C среднее время argv, что на практике приводит к в основном согласованному способу разделения аргументов.
Однако одно исключение — это `cmd.exe` (используемый, среди прочего, для выполнения пакетных файлов), который имеет свою собственную логику разделения аргументов. Это заставляет стандартную библиотеку реализовывать пользовательское экранирование для аргументов, передаваемых в пакетные файлы. К сожалению, было сообщено, что наша логика экранирования была недостаточно тщательной, и было возможно передать злонамеренные аргументы, которые приведут к произвольному выполнению оболочки.
Из-за сложности `cmd.exe` мы не смогли найти решение, которое правильно экранирует аргументы во всех случаях. Чтобы сохранить наши гарантии API, мы улучшили надежность кода экранирования и изменили API `Command`, чтобы возвращать ошибку `InvalidInput`, когда он не может безопасно экранировать аргумент. Эта ошибка будет сгенерирована при создании процесса.
Исправление включено в Rust 1.77.2. Обратите внимание, что новая логика экранирования пакетных файлов принимает консервативную позицию и может отклонить допустимые аргументы. Тем, кто реализует экранирование самостоятельно или обрабатывает только доверенные вводы на Windows, также можно использовать метод `CommandExt::raw_arg`, чтобы обойти логику экранирования стандартной библиотеки.
CVE-2023-3765Обход абсолютного пути в репозитории GitHub mlflow/mlflow до версии 2.5.0.
CVE-2022-24760Parse Server — это веб-сервер с открытым исходным кодом. В версиях до 4.10.7 существует уязвимость удаленного выполнения кода (RCE) в Parse Server. Эта уязвимость затрагивает Parse Server в конфигурации по умолчанию с MongoDB. Основная слабость, приводящая к RCE, — это код, уязвимый для загрязнения прототипа, в файле `DatabaseController.js`, поэтому он, вероятно, затронет Postgres и любой другой серверной части базы данных. Эта уязвимость была подтверждена в Linux (Ubuntu) и Windows. Пользователям рекомендуется как можно скорее выполнить обновление. Единственным известным обходным решением является ручное исправление вашей установки кодом, указанным в источнике GHSA-p6h4-93qp-jhcm.
CVE-2021-26622В Genian NAC была обнаружена уязвимость удаленного выполнения кода из-за уязвимости SSTI и недостаточной проверки параметра имени файла. Удаленные злоумышленники могут выполнить произвольный вредоносный код с привилегиями SYSTEM на всех подключенных узлах в NAC через эту уязвимость.
CVE-2020-1350Уязвимость удаленного выполнения кода существует в серверах доменных имен Windows, когда они неправильно обрабатывают запросы, известная как 'Уязвимость удаленного выполнения кода сервера DNS Windows'.
CVE-2020-12389Процессы содержимого Firefox недостаточно ограничили контроль доступа, что могло привести к выходу из песочницы. *Примечание: эта проблема затрагивает только Firefox в операционных системах Windows.*. Эта уязвимость затрагивает Firefox ESR < 68.8 и Firefox < 76.
CVE-2020-12388Процессы содержимого Firefox недостаточно ограничили контроль доступа, что могло привести к выходу из песочницы. *Примечание: эта проблема затрагивает только Firefox в операционных системах Windows.*. Эта уязвимость затрагивает Firefox ESR < 68.8 и Firefox < 76.
CVE-2020-0796Существует уязвимость удаленного выполнения кода в том, как протокол Microsoft Server Message Block 3.1.1 (SMBv3) обрабатывает определенные запросы, также известная как «Уязвимость удаленного выполнения кода клиента/сервера Windows SMBv3».
CVE-2019-5684NVIDIA Windows GPU Display Driver (все версии) содержит уязвимость в драйверах DirectX, из-за которой специально созданный шейдер может вызвать выход за границы массива входных текстур, что может привести к отказу в обслуживании или выполнению кода.
CVE-2019-14678SAS XML Mapper 9.45 имеет уязвимость XML External Entity (XXE), которая может быть использована злоумышленниками различными способами. Примеры: чтение локальных файлов, фильтрация файлов вне диапазона, подделка запросов на стороне сервера и/или потенциальные атаки типа "отказ в обслуживании". Эта уязвимость также затрагивает механизм XMLV2 LIBNAME при использовании опции AUTOMAP.
CVE-2019-1372Существует уязвимость удаленного выполнения кода, когда Azure App Service/Antares on Azure Stack не проверяет длину буфера перед копированием в него памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может позволить непривилегированной функции, запущенной пользователем, выполнять код в контексте NT AUTHORITY\system, тем самым выходя из песочницы. Обновление безопасности устраняет уязвимость, гарантируя, что Azure App Service очищает вводимые пользователем данные, также известная как «Уязвимость удаленного выполнения кода Azure App Service».
CVE-2016-1985HPE Operations Manager 8.x и 9.0 на Windows позволяют удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Java, связанный с библиотекой Apache Commons Collections.
CVE-2016-1505Внутренний интерфейс хранения файловой системы в Radicale до 1.1 в Windows позволяет удаленным злоумышленникам читать или записывать произвольные файлы через специально созданный путь, как продемонстрировано в /c:/file/ignore.
CVE-2016-1044Adobe Reader и Acrobat версий до 11.0.16, Acrobat и Acrobat Reader DC Classic версий до 15.006.30172, а также Acrobat и Acrobat Reader DC Continuous версий до 15.016.20039 в Windows и OS X позволяют злоумышленникам обходить ограничения выполнения JavaScript API через неуказанные векторы, что является другой уязвимостью, чем CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1062 и CVE-2016-1117.
CVE-2016-1041Adobe Reader и Acrobat версий до 11.0.16, Acrobat и Acrobat Reader DC Classic версий до 15.006.30172, а также Acrobat и Acrobat Reader DC Continuous версий до 15.016.20039 в Windows и OS X позволяют злоумышленникам обходить ограничения выполнения JavaScript API через неуказанные векторы, что является другой уязвимостью, чем CVE-2016-1038, CVE-2016-1039, CVE-2016-1040, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062 и CVE-2016-1117.
CVE-2016-1038Adobe Reader и Acrobat версий до 11.0.16, Acrobat и Acrobat Reader DC Classic версий до 15.006.30172, а также Acrobat и Acrobat Reader DC Continuous версий до 15.016.20039 в Windows и OS X позволяют злоумышленникам обходить ограничения выполнения JavaScript API через неуказанные векторы, что является другой уязвимостью, чем CVE-2016-1039, CVE-2016-1040, CVE-2016-1041, CVE-2016-1042, CVE-2016-1044, CVE-2016-1062 и CVE-2016-1117.
CVE-2015-8459Adobe Flash Player версий до 18.0.0.324 и 19.x и 20.x до 20.0.0.267 в Windows и OS X и до 11.2.202.559 в Linux, Adobe AIR до 20.0.0.233, Adobe AIR SDK до 20.0.0.233 и Adobe AIR SDK & Compiler до 20.0.0.233 позволяют злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через неуказанные векторы, что является иной уязвимостью, чем CVE-2015-8460, CVE-2015-8636 и CVE-2015-8645.
CVE-2015-7622Adobe Reader и Acrobat 10.x до 10.1.16 и 11.x до 11.0.13, Acrobat и Acrobat Reader DC Classic до 2015.006.30094, а также Acrobat и Acrobat Reader DC Continuous до 2015.009.20069 в Windows и OS X позволяют злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти) через неуказанные векторы, что является другой уязвимостью, чем CVE-2015-6685, CVE-2015-6686, CVE-2015-6693, CVE-2015-6694 и CVE-2015-6695.
CVE-2015-6691Уязвимость использования после освобождения в Adobe Reader и Acrobat 10.x до 10.1.16 и 11.x до 11.0.13, Acrobat и Acrobat Reader DC Classic до 2015.006.30094 и Acrobat и Acrobat Reader DC Continuous до 2015.009.20069 в Windows и OS X позволяет злоумышленникам выполнять произвольный код через неуказанные векторы, другая уязвимость, чем CVE-2015-5586, CVE-2015-6683, CVE-2015-6684, CVE-2015-6687, CVE-2015-6688, CVE-2015-6689, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617 и CVE-2015-7621.