nvd
I-doit
Уязвимости
19
Эксплуатируемые
0
Критический
3
Высокий
6
Топ продуктов
Топ уязвимостей
CVE-2023-37756I-doit pro 25 и ниже и I-doit open 25 и ниже используют слабые требования к паролю для создания учетной записи администратора. Злоумышленники могут легко угадать пароли пользователей с помощью атаки методом перебора.
CVE-2023-37755i-doit pro 25 и ниже и I-doit open 25 и ниже настроены с небезопасными учетными данными администратора по умолчанию, и нет предупреждения или запроса пользователям об изменении пароля и имени учетной записи по умолчанию. Не прошедшие проверку подлинности злоумышленники могут использовать эту уязвимость для получения прав администратора, что позволит им выполнять произвольные системные операции или вызывать отказ в обслуживании (DoS).
CVE-2019-1010248Synetics GmbH I-doit 1.12 и более ранние версии подвержены уязвимости: SQL Injection. Воздействие: неаутентифицированный доступ к базе данных mysql. Компонент: Форма входа в веб-систему. Вектор атаки: Злоумышленник может использовать уязвимость, отправив вредоносный HTTP POST-запрос. Исправленная версия: 1.12.1.
CVE-2020-13826Проблема внедрения CSV (aka Excel Macro Injection или Formula Injection) в i-doit 1.14.2 позволяет злоумышленнику выполнять произвольные команды через параметр Title, который неправильно обрабатывается в экспорте CSV.
CVE-2019-25581i-doit CMDB 1.12 содержит уязвимость инъекций SQL, которая позволяет неаутентифицированным злоумышленникам выполнять произвольные запросы SQL путем введения вредоносного кода через параметр objGroupID. Злоумышленники могут отправлять запросы GET с созданными полезными нагрузками SQL в параметре objGroupID для извлечения конфиденциальной информации базы данных, включая имена пользователей, имена баз данных и детали версии.
CVE-2024-8749Уязвимость SQL-инъекции в idoit pro версии 28. Эта уязвимость может позволить злоумышленнику отправить специально созданный запрос к параметру ID в /var/www/html/src/classes/modules/api/model/cmdb/isys_api_model_cmdb_objects_by_relation.class.php и получить всю информацию, хранящуюся в базе данных.
CVE-2014-1597Уязвимость SQL-инъекции в веб-приложении CMDB в synetics i-doit pro до версии 1.2.5 и i-doit open позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр objID в URI по умолчанию.
CVE-2018-20159i-doit open 1.11.2 допускает удаленное выполнение кода из-за неправильной обработки ZIP-архивов. Он имеет функцию загрузки, которая позволяет аутентифицированному пользователю с ролью администратора загружать произвольные файлы в основной каталог веб-сайта. Эксплуатация включает загрузку файла ".php" в файле ".zip", поскольку ZIP-архив принимается /admin/?req=modules&action=add в качестве плагина и извлекается в основной каталог. Чтобы файл ".zip" был принят, он также должен содержать файл package.json.
CVE-2019-25582i-doit CMDB 1.12 содержит произвольную уязвимость загрузки файлов, которая позволяет аутентифицированным злоумышленникам загружать конфиденциальные файлы, манипулируя параметром файла в index.php. Злоумышленники могут отправлять запросы GET на index.php с file_manager=image и поставлять произвольные пути файлов, такие как src/config.inc.php, для извлечения файлов конфигурации и конфиденциальных системных данных.
CVE-2023-37739В i-doit Pro v25 и ниже обнаружена уязвимость обхода пути.
CVE-2024-8750Уязвимость межсайтового скриптинга (XSS) в idoit pro версии 28. Эта уязвимость позволяет злоумышленнику получить сведения о сеансе аутентифицированного пользователя из-за отсутствия надлежащей очистки следующих параметров (id,lang,mNavID,name,pID,treeNode,type,view).
CVE-2020-13825Уязвимость межсайтового скриптинга (XSS) в i-doit 1.14.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр viewMode, tvMode, tvType, objID, catgID, objTypeID или editMode.
CVE-2019-6965Проблема XSS была обнаружена в i-doit Open 1.12 через параметр url src/tools/php/qr/qr.php.
CVE-2023-46003I-doit pro 25 и ниже уязвимы для Cross Site Scripting (XSS) через index.php.
CVE-2023-34830В i-doit Open v24 обнаружена отраженная уязвимость межсайтового скриптинга (XSS) через параметр timeout на странице входа.
CVE-2021-3151i-doit до 1.16.0 подвержен проблемам хранимого межсайтового скриптинга (XSS), которые могут позволить удаленным аутентифицированным злоумышленникам внедрять произвольный веб-скрипт или HTML через C__MONITORING__CONFIG__TITLE, SM2__C__MONITORING__CONFIG__TITLE, C__MONITORING__CONFIG__PATH, SM2__C__MONITORING__CONFIG__PATH, C__MONITORING__CONFIG__ADDRESS или SM2__C__MONITORING__CONFIG__ADDRESS.
CVE-2014-2231Уязвимость межсайтового скриптинга (XSS) в API в synetics i-doit pro до версии 1.2.5 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через заголовок свойства.
CVE-2014-1237Уязвимость межсайтового скриптинга (XSS) в synetics i-doit pro до версии 1.2.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр call.
CVE-2013-1413Множественные уязвимости межсайтового скриптинга (XSS) в synetics i-doit open 0.9.9-7, i-doit pro 1.0 и более ранних версиях, а также i-doit pro 1.0.2, когда не включен флаг 'sanitize user input', позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.