Python-meld3
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.77823
Распределение по критичности
Критический
0
Высокий
2
Средний
11
Низкий
1
Также сопоставлено как (исходные строки): python-meld3
Топ уязвимостей
CVE-2017-7552В редакторе файлов millicore обнаружена уязвимость, затрагивающая версии до 3.19.0 и 4.x до 4.5.0, которая позволяет выполнять файлы, а также создавать их. Злоумышленник мог использовать эту уязвимость для компрометации других пользователей или командных проектов, хранящихся в системе управления исходным кодом установки RHMAP Core.
CVE-2012-6685Nokogiri до версии 1.5.4 уязвим для XXE-атак.
CVE-2017-2639Обнаружено, что CloudForms не проверяет, соответствует ли имя хоста сервера доменному имени в сертификате при использовании пользовательского ЦС и связи с Red Hat Virtualization (RHEV) и OpenShift. Это позволит злоумышленнику подделать системы RHEV или OpenShift и потенциально собрать конфиденциальную информацию из CloudForms.
CVE-2017-15125Уязвимость была обнаружена в CloudForms до версии 5.9.0.22 в функции создания снимков пользовательского интерфейса самообслуживания, где поле имени неправильно очищается для ввода HTML и JavaScript. Злоумышленник может использовать этот недостаток для выполнения сохраненной XSS-атаки на администратора приложения с помощью CloudForms. Обратите внимание, что CSP (Content Security Policy) предотвращает использование этой XSS, однако не все браузеры поддерживают CSP.
CVE-2017-1000117Злоумышленник может предоставить специально созданный URL-адрес "ssh://..." ничего не подозревающей жертве, и попытка посетить URL-адрес может привести к выполнению любой программы, существующей на компьютере жертвы. Такой URL-адрес может быть помещен в файл .gitmodules вредоносного проекта, и ничего не подозревающую жертву можно обманом заставить запустить "git clone --recurse-submodules", чтобы вызвать уязвимость.
CVE-2018-8048В геме Loofah до версии 2.2.0 для Ruby не включенные в белый список атрибуты HTML могут появляться в очищенном выводе путем повторной публикации созданного фрагмента HTML.
CVE-2018-3741Существует возможная XSS-уязвимость во всех версиях rails-html-sanitizer gem ниже 1.0.4 для Ruby. Gem позволяет присутствовать атрибутам, не включенным в белый список, в очищенном выводе при вводе специально созданных HTML-фрагментов, и эти атрибуты могут привести к XSS-атаке на целевые приложения. Эта проблема аналогична CVE-2018-8048 в Loofah. Всем пользователям, использующим уязвимую версию, следует немедленно обновиться или использовать один из обходных путей.
CVE-2018-11627Sinatra до 2.0.2 имеет XSS через страницу 400 Bad Request, которая возникает при исключении парсера параметров.
CVE-2017-7554Обнаружено, что компонент App Studio в RHMAP 4.4 выполняет javascript, предоставленный пользователем. Злоумышленник мог использовать эту уязвимость для выполнения сохраненной XSS-атаки на администратора приложения с помощью App Studio.
CVE-2016-4457CloudForms Management Engine до версии 5.8 включает SSL/TLS-сертификат по умолчанию.
CVE-2017-7553Вызов API external_request в App Studio (millicore) позволяет выполнять подделку запросов на стороне сервера (SSRF). Злоумышленник мог использовать эту уязвимость для проверки внутренних сетевых ресурсов и доступа к ограниченным конечным точкам.
CVE-2017-15010Во tough-cookie module до версии 2.3.3 для Node.js обнаружена ошибка ReDoS (regular expression denial of service). Злоумышленник, способный сделать HTTP-запрос, используя специально созданный cookie, может привести к тому, что приложение будет потреблять чрезмерное количество ресурсов ЦП.
CVE-2013-4492Уязвимость межсайтового скриптинга (XSS) в exceptions.rb в геме i18n до 0.6.6 для Ruby позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный вызов I18n::MissingTranslationData.new.
CVE-2018-3728Node-модуль hoek версий до 4.2.0 и 5.0.x до 5.0.3 страдает от уязвимости Modification of Assumed-Immutable Data (MAID) через функции 'merge' и 'applyToDefaults', которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.