V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
OpencollectiveПриложениеnvd,anchore_overrides

Alf.io

Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.00748

Распределение по критичности

Критический
0
Высокий
2
Средний
4
Низкий
0

Затронутые диапазоны версий

< 2.0-M4-2304< 2.0-M4-2402< 2.0-m4-2301
Также сопоставлено как (исходные строки): alf.io

Топ уязвимостей

CVE-2024-25635alf.io — это система резервирования билетов с открытым исходным кодом. В версиях до 2.0-Mr-2402 владельцы организаций могут просматривать сгенерированный API KEY и USERS других владельцев организаций, используя конечную точку `http://192.168.26.128:8080/admin/api/users/<user_id>`, которая раскрывает детали предоставленного идентификатора пользователя. Это также может раскрыть API KEY в имени пользователя. Версия 2.0-M4-2402 устраняет эту проблему.
CVE-2024-25628Alf.io — это бесплатная система управления посещаемостью мероприятий с открытым исходным кодом. В версиях до 2.0-M4-2402 пользователи могут получить доступ к области администрирования даже после того, как их учетная запись была признана недействительной/удалена. Эта проблема была решена в версии 2.0-M4-2402. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2024-25634alf.io — это система резервирования билетов с открытым исходным кодом. В версиях до 2.0-Mr-2402 злоумышленник может получить доступ к данным от других организаторов. Злоумышленник может использовать специально созданный запрос для получения журнала электронной почты, отправленного другими событиями. Версия 2.0-M4-2402 устраняет эту проблему.
CVE-2023-0301Межсайтовый скриптинг (XSS) — Stored в репозитории GitHub alfio-event/alf.io до версии Alf.io 2.0-M4-2301.
CVE-2023-0300Межсайтовый скриптинг (XSS) — Reflected в репозитории GitHub alfio-event/alf.io до версии 2.0-M4-2301.
CVE-2024-25627Alf.io — это бесплатная система управления посещаемостью мероприятий с открытым исходным кодом. Администратор приложения alf.io может загружать HTML-файлы, которые запускают полезные нагрузки JavaScript. Таким образом, злоумышленник, получивший административный доступ к приложению alf.io, может сохранить доступ, внедрив полезную нагрузку XSS. Эта проблема была решена в версии 2.0-M4-2402. Пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →