V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Red HatДистрибутивredhat

Quartz

Уязвимости
27
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.47111

Распределение по критичности

Критический
2
Высокий
1
Средний
17
Низкий
7
Также сопоставлено как (исходные строки): quartz

Топ уязвимостей

CVE-2014-0234Конфигурация по умолчанию broker.conf в Red Hat OpenShift Enterprise 2.x до 2.1 имеет пароль "mooo" для учетной записи Mongo, что позволяет удаленным злоумышленникам перехватить брокер, предоставив этот пароль, связанный со скриптом openshift.sh в Openshift Extras до 20130920. ПРИМЕЧАНИЕ: это может частично совпадать с CVE-2013-4253 и CVE-2013-4281.
CVE-2014-0175mcollective имеет пароль по умолчанию, установленный при установке.
CVE-2010-3708Реализация сериализации в JBoss Drools в Red Hat JBoss Enterprise Application Platform (также известной как JBoss EAP или JBEAP) 4.3 до 4.3.0.CP09 и JBoss Enterprise SOA Platform 4.2 и 4.3 поддерживает встраивание файлов классов, что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный статический инициализатор.
CVE-2011-2196jboss-seam.jar в JBoss Seam 2 framework 2.2.x и более ранних версий, как распространяется в Red Hat JBoss Enterprise SOA Platform 4.3.0.CP05 и 5.1.0; JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.3.0, 4.3.0.CP09 и 5.1.1; и JBoss Enterprise Web Platform 5.1.1, неправильно ограничивает использование операторов Expression Language (EL) в FacesMessages во время обработки исключений страницы, что позволяет удаленным злоумышленникам выполнять произвольный Java-код через специально созданный URL-адрес для приложения. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2011-1484.
CVE-2014-0084Ruby gem openshift-origin-node до 2014-02-14 не содержит тайм-аут cronjob, что может привести к отказу в обслуживании в cron.daily и cron.weekly.
CVE-2012-5603proxies_controller.rb в Katello в Red Hat CloudForms до версии 1.1 неправильно проверяет разрешения, что позволяет удаленным аутентифицированным пользователям читать сертификаты потребителей или изменять настройки произвольных пользователей через неуказанные векторы, связанные с "UUID потребителя" системы.
CVE-2009-2625XMLScanner.java в Apache Xerces2 Java, используемый в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 15 и JDK и JRE 5.0 до Update 20, а также в других продуктах, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и зависание приложения) через некорректный XML-ввод, как продемонстрировано фреймворком фаззинга Codenomicon XML.
CVE-2009-0217Конструкция рекомендации W3C XML Signature Syntax and Processing (XMLDsig), реализованная в продуктах, включая (1) компонент Oracle Security Developer Tools в Oracle Application Server 10.1.2.3, 10.1.3.4 и 10.1.4.3IM; (2) компонент WebLogic Server в BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0 и 8.1 SP6; (3) Mono до 2.4.2.2; (4) XML Security Library до 1.2.12; (5) IBM WebSphere Application Server Versions 6.0 до 6.0.2.33, 6.1 до 6.1.0.23 и 7.0 до 7.0.0.1; (6) Sun JDK и JRE Update 14 и более ранние версии; (7) Microsoft .NET Framework 3.0 до 3.0 SP2, 3.5 и 4.0; и другие продукты, использует параметр, определяющий длину усечения HMAC (HMACOutputLength), но не требует минимума для этой длины, что позволяет злоумышленникам подделывать подписи на основе HMAC и обходить аутентификацию, указывая длину усечения с небольшим количеством битов.
CVE-2008-3273JBoss Enterprise Application Platform (aka JBossEAP или EAP) до 4.2.0.CP03 и 4.3.0 до 4.3.0.CP01 позволяет удаленным злоумышленникам получать конфиденциальную информацию о "развернутых веб-контекстах" через запрос к сервлету состояния, как продемонстрировано строкой запроса full=true.
CVE-2012-4574Pulp in Red Hat CloudForms before 1.1 uses world-readable permissions for pulp.conf, which allows local users to read the administrative password by reading this file.
CVE-2012-3538Pulp в Red Hat CloudForms до 1.1 регистрирует пароли администратора в файле, доступном для чтения всем, что позволяет локальным пользователям читать пароли администратора pulp, читая production.log.
CVE-2012-5605Grinder в Red Hat CloudForms до версии 1.1 использует права доступа для записи всем для /var/lib/pulp/cache/grinder/, что позволяет локальным пользователям изменять файлы кэша grinder.
CVE-2017-7514Была обнаружена ошибка межсайтового скриптинга (XSS) в том, как обрабатывается запись о неудачном действии в Red Hat Satellite до версии 5.8.0. Пользователь, способный указать неудачное действие, может использовать этот недостаток для выполнения атак XSS на других пользователей Satellite.
CVE-2013-0184Неуказанная уязвимость в Rack::Auth::AbstractRequest в Rack 1.1.x до 1.1.5, 1.2.x до 1.2.7, 1.3.x до 1.3.9 и 1.4.x до 1.4.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании через неизвестные векторы, связанные с "символизированными произвольными строками".
CVE-2013-0183multipart/parser.rb в Rack 1.3.x до 1.3.8 и 1.4.x до 1.4.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти и ошибку нехватки памяти) через длинную строку в пакете Multipart HTTP.
CVE-2012-6109lib/rack/multipart.rb в Rack до версий 1.1.4, 1.2.x до 1.2.6, 1.3.x до 1.3.7 и 1.4.x до 1.4.2 использует неправильное регулярное выражение, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл) через специально созданный заголовок Content-Disposion.
CVE-2009-2405Множественные уязвимости межсайтового скриптинга (XSS) в веб-консоли в Application Server в Red Hat JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.2.0 до 4.2.0.CP08, 4.2.2GA, 4.3 до 4.3.0.CP07 и 5.1.0GA позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр (1) monitorName, (2) objectName, (3) attribute или (4) period в createSnapshot.jsp или параметр (5) monitorName, (6) objectName, (7) attribute, (8) threshold, (9) period или (10) enabled в createThresholdMonitor.jsp. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из информации третьих лиц.
CVE-2009-1380Уязвимость межсайтового скриптинга (XSS) в JMX-Console в JBossAs в Red Hat JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.2 до 4.2.0.CP08 и 4.3 до 4.3.0.CP07 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр filter, связанный со свойством key и положением кавычек и двоеточий.
CVE-2014-3602Red Hat OpenShift Enterprise до версии 2.2 позволяет локальным пользователям получать информацию об IP-адресах и номерах портов удаленных систем, читая /proc/net/tcp.
CVE-2010-3878Уязвимость межсайтовой подделки запросов (CSRF) в консоли JMX в Red Hat JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.3 до версии 4.3.0.CP09 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые развертывают WAR-файлы.
CVE-2014-3674Red Hat OpenShift Enterprise до версии 2.2 неправильно ограничивает доступ к gears, что позволяет удаленным злоумышленникам получать доступ к сетевым ресурсам произвольных gears через неуказанные векторы.
CVE-2014-7812Уязвимость межсайтового скриптинга (XSS) в Spacewalk и Red Hat Network (RHN) Satellite до версии 5.7.0 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через поле System Groups.
CVE-2014-7811Множественные уязвимости межсайтового скриптинга (XSS) в Spacewalk и Red Hat Network (RHN) Satellite до версии 5.7.0 позволяют удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через специально созданные XML-данные в REST API.
CVE-2010-3862Метод org.jboss.remoting.transport.bisocket.BisocketServerInvoker$SecondaryServerSocketThread.run в JBoss Remoting 2.2.x до версии 2.2.3.SP4 и 2.5.x до версии 2.5.3.SP2 в Red Hat JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.3 до 4.3.0.CP09 и 5.1.0; и JBoss Enterprise Web Platform (aka JBEWP) 5.1.0; позволяет удаленным злоумышленникам вызывать отказ в обслуживании (отключение демона), устанавливая TCP-сеанс управления bisocket, а затем не отправляя никаких данных приложения.
CVE-2013-0162Функция diff_pp в lib/gauntlet_rubyparser.rb в ruby_parser gem 3.1.1 и более ранних версиях для Ruby позволяет локальным пользователям перезаписывать произвольные файлы через атаку с использованием символических ссылок на временный файл с предсказуемым именем в /tmp.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →