Erlang
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.4
Макс. EPSS
0.22098
Распределение по критичности
Критический
1
Высокий
1
Средний
8
Низкий
0
Также сопоставлено как (исходные строки): erlang
Топ уязвимостей
CVE-2022-37026В Erlang/OTP до версий 23.3.4.15, 24.x до 24.3.4.2 и 25.x до 25.0.2 существует обход аутентификации клиента в определенных ситуациях с клиентской сертификацией для SSL, TLS и DTLS.
CVE-2012-6685Nokogiri до версии 1.5.4 уязвим для XXE-атак.
CVE-2017-2639Обнаружено, что CloudForms не проверяет, соответствует ли имя хоста сервера доменному имени в сертификате при использовании пользовательского ЦС и связи с Red Hat Virtualization (RHEV) и OpenShift. Это позволит злоумышленнику подделать системы RHEV или OpenShift и потенциально собрать конфиденциальную информацию из CloudForms.
CVE-2017-15125Уязвимость была обнаружена в CloudForms до версии 5.9.0.22 в функции создания снимков пользовательского интерфейса самообслуживания, где поле имени неправильно очищается для ввода HTML и JavaScript. Злоумышленник может использовать этот недостаток для выполнения сохраненной XSS-атаки на администратора приложения с помощью CloudForms. Обратите внимание, что CSP (Content Security Policy) предотвращает использование этой XSS, однако не все браузеры поддерживают CSP.
CVE-2017-1000385Сервер Erlang otp TLS отвечает различными TLS-оповещениями на различные типы ошибок в заполнении RSA PKCS #1 1.5. Это позволяет злоумышленнику расшифровать содержимое или подписывать сообщения с помощью закрытого ключа сервера (это разновидность атаки Bleichenbacher).
CVE-2018-8048В геме Loofah до версии 2.2.0 для Ruby не включенные в белый список атрибуты HTML могут появляться в очищенном выводе путем повторной публикации созданного фрагмента HTML.
CVE-2018-3741Существует возможная XSS-уязвимость во всех версиях rails-html-sanitizer gem ниже 1.0.4 для Ruby. Gem позволяет присутствовать атрибутам, не включенным в белый список, в очищенном выводе при вводе специально созданных HTML-фрагментов, и эти атрибуты могут привести к XSS-атаке на целевые приложения. Эта проблема аналогична CVE-2018-8048 в Loofah. Всем пользователям, использующим уязвимую версию, следует немедленно обновиться или использовать один из обходных путей.
CVE-2018-11627Sinatra до 2.0.2 имеет XSS через страницу 400 Bad Request, которая возникает при исключении парсера параметров.
CVE-2016-4457CloudForms Management Engine до версии 5.8 включает SSL/TLS-сертификат по умолчанию.
CVE-2013-4492Уязвимость межсайтового скриптинга (XSS) в exceptions.rb в геме i18n до 0.6.6 для Ruby позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный вызов I18n::MissingTranslationData.new.