nvd,bdu
Anuko
Уязвимости
13
Эксплуатируемые
0
Критический
4
Высокий
6
Топ продуктов
Топ уязвимостей
CVE-2023-32308anuko timetracker — это система учета времени с открытым исходным кодом. Уязвимость слепой SQL-инъекции на основе логических значений существовала в Time Tracker invoices.php в версиях до 1.22.11.5781. Это происходило из-за ошибки кодирования после проверки параметров в POST-запросах. Не было проверки на наличие ошибок перед настройкой порядка сортировки счетов. Из-за этого можно было создать POST-запрос с вредоносным SQL для базы данных Time Tracker. Эта проблема была исправлена в версии 1.22.11.5781. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут вставить дополнительную проверку на наличие ошибок в условие перед вызовом `ttGroupHelper::getActiveInvoices()` в invoices.php.
CVE-2023-32306Time Tracker — это система учета времени с открытым исходным кодом. Уязвимость слепой инъекции на основе времени существовала в отчетах Time Tracker в версиях до 1.22.13.5792. Это происходило из-за того, что страница `reports.php` не проверяла все параметры в POST-запросах. Поскольку некоторые параметры не проверялись, можно было создать POST-запросы с вредоносным SQL для базы данных Time Tracker. Эта проблема исправлена в версии 1.22.13.5792. В качестве обходного пути используйте исправленный код в `ttReportHelper.class.php` из версии 1.22.13.5792.
CVE-2020-27422В Anuko Time Tracker v1.19.23.5311 ссылка для сброса пароля, отправленная пользователю по электронной почте, не истекает после использования, что позволяет злоумышленнику использовать ту же ссылку для захвата учетной записи.
CVE-2021-21352Anuko Time Tracker - это веб-приложение с открытым исходным кодом для отслеживания времени, написанное на PHP. В TimeTracker до версии 1.19.24.5415 токены, используемые в функции сброса пароля в Time Tracker, основаны на системном времени и, следовательно, предсказуемы. Это открывает окно для атак методом перебора, чтобы угадать пользовательские токены и, в случае успеха, изменить пользовательские пароли, включая пароль системного администратора. Эта уязвимость исправлена в версии 1.19.24.5415 (начали использоваться более безопасные токены) с дополнительным улучшением в версии 1.19.24.5416 (ограничено доступное окно для угадывания токенов методом перебора).
CVE-2022-24707Anuko Time Tracker — это веб-приложение с открытым исходным кодом для отслеживания времени, написанное на PHP. UNION SQL-инъекция и уязвимости слепой инъекции на основе времени существовали в плагине Time Tracker Puncher в версиях anuko timetracker до 1.20.0.5642. Это происходило потому, что плагин Puncher повторно использовал код из других мест и полагался на непроверенный параметр даты в POST-запросах. Поскольку параметр не был проверен, можно было создавать POST-запросы с вредоносным SQL для базы данных Time Tracker. Эта проблема была решена в версии 1.20.0.5642. Пользователям, не имеющим возможности выполнить обновление, рекомендуется добавить собственные проверки входных данных.
CVE-2021-43851Anuko Time Tracker — это веб-приложение для учета времени с открытым исходным кодом, написанное на PHP. Уязвимость SQL-инъекции существует в нескольких файлах Time Tracker версии 1.19.33.5606 и более ранних из-за неправильной проверки параметров «group» и «status» в POST-запросах. Параметр Group отправляется при переходе между организационными подгруппами (файл groups.php). Параметр Status используется в нескольких файлах для изменения статуса объекта, например, для деактивации проекта, задачи или пользователя. Эта проблема была исправлена в версии 1.19.33.5607. Настоятельно рекомендуется выполнить обновление. Если обновление нецелесообразно, внедрите функцию ttValidStatus, как в последней версии, и начните использовать ее в блоках проверки ввода пользователя везде, где используется поле статуса. Для исправления groups.php внедрите функцию ttValidInteger, как в последней версии, и используйте ее в блоке проверки доступа в файле.
BDU:2022-02909Уязвимость системы учета рабочего времени Anuko Time Tracker связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольный SQL-запрос в базе данных Time Tracker
CVE-2021-29436Anuko Time Tracker - это веб-приложение с открытым исходным кодом для отслеживания времени, написанное на PHP. В Time Tracker до версии 1.19.27.5431 существовала уязвимость Cross site request forgery (CSRF). Суть CSRF заключается в том, что вошедший в систему пользователь может быть обманут с помощью социальной инженерии, чтобы щелкнуть по предоставленной злоумышленником форме, которая выполняет непреднамеренное действие, такое как изменение пароля пользователя. Уязвимость исправлена в Time Tracker версии 1.19.27.5431. Рекомендуется обновление. Если обновление нецелесообразно, введите функцию ttMitigateCSRF() в /WEB-INF/lib/common.php.lib, используя последний доступный код, и вызовите ее из ttAccessAllowed().
CVE-2020-27423В Anuko Time Tracker v1.19.23.5311 отсутствует ограничение скорости в модуле сброса пароля, что позволяет злоумышленнику выполнить атаку типа «отказ в обслуживании» на почтовый ящик любого законного пользователя.
CVE-2020-15255В Anuko Time Tracker до версии 1.19.23.5325 из-за неправильной фильтрации вводимых пользователем данных CSV-экспорт отчета может содержать ячейки, которые обрабатываются как формулы программным обеспечением для работы с электронными таблицами (например, когда значение ячейки начинается со знака равенства). Это исправлено в версии 1.19.23.5325.
CVE-2021-41139Anuko Time Tracker - это веб-приложение для отслеживания времени с открытым исходным кодом, написанное на PHP. Когда зарегистрированный пользователь выбирает дату в Time Tracker, она передается через параметр даты в URI. Из-за отсутствия проверки этого параметра на работоспособность в версиях до 1.19.30.5600 можно было создать URI с вредоносным JavaScript, использовать социальную инженерию, чтобы убедить зарегистрированного пользователя щелкнуть по такой ссылке, и заставить предоставленный злоумышленником JavaScript выполняться в браузере пользователя. Эта проблема исправлена в версии 1.19.30.5600. В качестве обходного пути можно ввести функцию `ttValidDbDateFormatDate`, как в последней версии, и добавить вызов к ней в блоке проверок доступа в time.php.
CVE-2023-32066Time Tracker - это система учета времени с открытым исходным кодом. Плагин просмотра недели в Time Tracker версий 1.22.11.5782 и старше не экранировал заголовки для заметок в таблице просмотра недели. Из-за этого зарегистрированный пользователь мог вводить заметки с элементами JavaScript. Такой скрипт мог быть выполнен в браузере пользователя при последующих запросах к просмотру недели. Эта проблема исправлена в версии 1.22.12.5783. В качестве обходного решения используйте `htmlspecialchars` при вызове `$field->setTitle` в строке #245 в файле `week.php`, как это происходит в версии 1.22.12.5783.
CVE-2022-24708Anuko Time Tracker — это веб-приложение с открытым исходным кодом для отслеживания времени, написанное на PHP. ttUser.class.php в Time Tracker версиях до 1.20.0.5646 не экранировал имя основной группы для отображения. Из-за этого зарегистрированный пользователь мог изменить имя основной группы с элементами JavaScript. Затем такой скрипт можно было выполнить в браузере пользователя при последующих запросах на страницах, где отображалось имя основной группы. Эта уязвимость была исправлена в версии 1.20.0.5646. Пользователи, не имеющие возможности выполнить обновление, могут изменить ttUser.class.php, чтобы использовать дополнительный вызов htmlspecialchars при печати имени группы.