V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Red HatДистрибутивredhat

Apache-mime4j

Уязвимости
62
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.87264

Распределение по критичности

Критический
2
Высокий
2
Средний
48
Низкий
10
Также сопоставлено как (исходные строки): apache-mime4j

Топ уязвимостей

CVE-2014-0007Smart-Proxy в Foreman до версии 1.4.5 и 1.5.x до версии 1.5.1 позволяет удаленным злоумышленникам выполнять произвольные команды через shell metacharacters в параметре path для tftp/fetch_boot_file.
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2013-4225Модуль RESTful Web Services (restws) 7.x-1.x до 7.x-1.4 и 7.x-2.x до 7.x-2.1 для Drupal неправильно ограничивает доступ к операциям записи сущностей, что облегчает удаленным аутентифицированным пользователям с разрешениями "access resource node" и "create page content" (или эквивалентными) проводить межсайтовый скриптинг (XSS) или выполнять произвольный PHP-код через специально созданное текстовое поле.
CVE-2015-0226Apache WSS4J до 1.6.17 и 2.0.x до 2.0.2 неправильно раскрывает информацию о сбоях расшифровки при расшифровке зашифрованного ключа или данных сообщения, что облегчает удаленным злоумышленникам восстановление формы открытого текста симметричного ключа через серию специально созданных сообщений. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2011-2487.
CVE-2014-1704Множественные неуказанные уязвимости в Google V8 до версии 3.23.17.18, используемом в Google Chrome до версии 33.0.1750.149, позволяют злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое воздействие через неизвестные векторы.
CVE-2014-0226Состояние гонки в модуле mod_status в Apache HTTP Server до версии 2.4.10 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (переполнение буфера на основе кучи) или, возможно, получать конфиденциальную информацию об учетных данных или выполнять произвольный код через специально созданный запрос, который вызывает неправильную обработку scoreboard в функции status_handler в modules/generators/mod_status.c и функции lua_ap_scoreboard_worker в modules/lua/lua_request.c.
CVE-2013-6650Функция StoreBuffer::ExemptPopularPages в store-buffer.cc в Google V8 до версии 3.22.24.16, используемом в Google Chrome до версии 32.0.1700.102, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать другое неуказанное воздействие через векторы, которые вызывают неправильную обработку "популярных страниц".
CVE-2013-6639Функция DehoistArrayIndex в hydrogen-dehoist.cc (aka hydrogen.cc) в Google V8 до версии 3.22.24.7, используемом в Google Chrome до версии 31.0.1650.63, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (запись за пределами выделенной памяти) или, возможно, оказать другое неуказанное воздействие через код JavaScript, который устанавливает значение элемента массива с помощью специально созданного индекса.
CVE-2013-2882Google V8, используемый в Google Chrome до версии 28.0.1500.95, позволяет удаленным злоумышленникам вызывать отказ в обслуживании или, возможно, оказывать другое не указанное воздействие через векторы, использующие "путаницу типов".
CVE-2013-4182app/controllers/api/v1/hosts_controller.rb в Foreman до 1.2.2 неправильно ограничивает доступ к хостам, что позволяет удаленным злоумышленникам получать доступ к произвольным хостам через API-запрос.
CVE-2012-4549The processInvocation function in org.jboss.as.ejb3.security.AuthorizationInterceptor in JBoss Enterprise Application Platform (aka JBoss EAP or JBEAP) before 6.0.1, authorizes all requests when no roles are allowed for an Enterprise Java Beans (EJB) method invocation, which allows attackers to bypass intended access restrictions for EJB methods.
CVE-2015-6254(1) Service Provider (SP) и (2) Identity Provider (IdP) в PicketLink до версии 2.7.0 не обеспечивают соответствие атрибута Destination в элементе Response в утверждении SAML местоположению, из которого было получено сообщение, что позволяет удаленным злоумышленникам оказывать неуказанное воздействие через неизвестные векторы. ПРИМЕЧАНИЕ: этот идентификатор был РАЗДЕЛЕН из CVE-2015-0277 согласно ADT2 из-за различных типов уязвимостей.
CVE-2015-3235Foreman до версии 1.9.0 позволяет удаленным аутентифицированным пользователям с разрешением edit_users редактировать учетные записи администраторов и изменять их пароли через неуказанные векторы.
CVE-2015-0277Service Provider (SP) в PicketLink до версии 2.7.0 не гарантирует, что он является членом элемента Audience, когда указано AudienceRestriction, что позволяет удаленным злоумышленникам входить в учетные записи других пользователей через специально созданное утверждение SAML. ПРИМЕЧАНИЕ: этот идентификатор был РАЗДЕЛЕН согласно ADT2 из-за различных типов уязвимостей. См. CVE-2015-6254 для отсутствия проверки атрибута Destination в элементе Response в утверждении SAML.
CVE-2014-0089Уязвимость межсайтового скриптинга (XSS) в app/views/common/500.html.erb в Foreman 1.4.x до 1.4.2 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через имя закладки при добавлении закладки.
CVE-2013-2121Уязвимость внедрения Eval в методе create в контроллере Bookmarks в Foreman до версии 1.2.0-RC2 позволяет удаленным аутентифицированным пользователям с разрешениями на создание закладок выполнять произвольный код через атрибут имени контроллера.
CVE-2014-4616Ошибка индексации массива в функции scanstring в модуле _json в Python 2.7 до 3.5 и simplejson до 2.6.1 позволяет зависящим от контекста злоумышленникам читать произвольную память процесса через отрицательное значение индекса в аргументе idx функции raw_decode.
CVE-2013-7440Функция ssl.match_hostname в CPython (также известной как Python) до 2.7.9 и 3.x до 3.3.3 неправильно обрабатывает подстановочные знаки в именах хостов, что может позволить злоумышленникам типа "человек посередине" подменять серверы через специально созданный сертификат.
CVE-2013-6640Функция DehoistArrayIndex в hydrogen-dehoist.cc (aka hydrogen.cc) в Google V8 до версии 3.22.24.7, используемом в Google Chrome до версии 31.0.1650.63, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти) через код JavaScript, который присваивает переменной значение элемента массива с помощью специально созданного индекса.
CVE-2012-6619Конфигурация по умолчанию для MongoDB до версии 2.3.2 не проверяет объекты, что позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой) или читать системную память через специально созданный объект BSON в имени столбца в команде insert, что приводит к переполнению буфера при чтении.
CVE-2012-2379Apache CXF 2.4.x до 2.4.8, 2.5.x до 2.5.4 и 2.6.x до 2.6.1, когда Supporting Token указывает дочернюю политику WS-SecurityPolicy 1.1 или 1.2, неправильно обеспечивает подпись или шифрование XML-элемента, что имеет неуказанное воздействие и векторы атаки.
CVE-2012-5603proxies_controller.rb в Katello в Red Hat CloudForms до версии 1.1 неправильно проверяет разрешения, что позволяет удаленным аутентифицированным пользователям читать сертификаты потребителей или изменять настройки произвольных пользователей через неуказанные векторы, связанные с "UUID потребителя" системы.
CVE-2014-3531Множественные уязвимости межсайтового скриптинга (XSS) в Foreman до 1.5.2 позволяют удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через (1) имя или (2) описание операционной системы.
CVE-2014-0208Уязвимость межсайтового скриптинга (XSS) в функции автоматического завершения поиска в Foreman до версии 1.4.4 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через специально созданное имя ключа.
CVE-2013-2101Katello имеет несколько проблем XSS в различных сущностях.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →