anchore_overrides,nvd
Kromit
Уязвимости
9
Эксплуатируемые
0
Критический
3
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2022-2595Неправильная авторизация в репозитории GitHub kromitgmbh/titra до версии 0.79.1.
CVE-2022-2098Слабые требования к паролю в репозитории GitHub kromitgmbh/titra до версии 0.78.1.
CVE-2025-69288Titra - это программное обеспечение для отслеживания времени проекта с открытым исходным кодом. До версии 0.99.49, Titra позволяет любому аутентифицированному пользователю администратора изменять времяEntryRule в базе данных. Затем значение передается в значение NodeVM для выполнения в качестве кода. Без дезинфекции это приводит к удаленному исполнению кода. Версия 0.99.49 исправляет проблему.
CVE-2026-21694Titra - это программное обеспечение для отслеживания времени проекта с открытым исходным кодом. Версии 0.99.49 и ниже имеют неправильное управление доступом, что позволяет пользователям просматривать и редактировать записи времени других пользователей в частных проектах, к которым им не был предоставлен доступ. Эта проблема исправлена в версии 0.99.50.
CVE-2022-2027Неправильная нейтрализация элементов формул в CSV-файле в репозитории GitHub kromitgmbh/titra до версии 0.77.0.
CVE-2022-2029Межсайтовый скриптинг (XSS) - DOM в репозитории GitHub kromitgmbh/titra до версии 0.77.0.
CVE-2022-2028Межсайтовый скриптинг (XSS) - Generic в репозитории GitHub kromitgmbh/titra до версии 0.77.0.
CVE-2022-2026Межсайтовый скриптинг (XSS) - Stored в репозитории GitHub kromitgmbh/titra до версии 0.77.0.
CVE-2026-21695Titra - это программное обеспечение для отслеживания времени проекта с открытым исходным кодом. В версиях 0.99.49 и ниже API имеет уязвимость Mass Assignment, которая позволяет аутентифицированным пользователям вводить произвольные поля во временных входах, минуя элементы управления бизнес-логикой через параметр customfields. Затронутая конечная точка использует оператора распространения JavaScript (... customtomfields) для объединения контролируемого пользователем ввода непосредственно в документ базы данных. В то время как пользовательские поля валидируются как тип объекта, нет подтверждения того, какие клавиши разрешены внутри этого объекта. Это позволяет злоумышленникам перезаписывать защищенные поля, такие как userId, часы и состояние. Выпуск исправлен в версии 0.99.50.