nvd
Leantime
Уязвимости
9
Эксплуатируемые
0
Критический
0
Высокий
3
Топ продуктов
Топ уязвимостей
CVE-2024-27474Leantime 3.0.6 уязвим для межсайтовой подделки запросов (CSRF). Эта уязвимость позволяет злоумышленникам выполнять несанкционированные действия от имени аутентифицированных пользователей, особенно администраторов.
CVE-2020-5292Leantime до версий 2.0.15 и 2.1-beta3 имеет уязвимость SQL-инъекции. Влияние велико. Злонамеренные пользователи/злоумышленники могут выполнять произвольные SQL-запросы, негативно влияющие на конфиденциальность, целостность и доступность сайта. Злоумышленники могут извлекать данные, такие как хэши паролей пользователей и администраторов, изменять данные или удалять таблицы. Неэкранированный параметр - "searchUsers" при отправке POST-запроса к "/tickets/showKanban" с действительным сеансом. В коде параметр называется "users" в class.tickets.php. Эта проблема исправлена в версиях 2.0.15 и 2.1.0 beta 3.
CVE-2024-27705Уязвимость Cross Site Scripting в Leantime v3.0.6 позволяет злоумышленникам выполнить произвольный код через загрузку специально созданного PDF-файла в endpoint files/browse.
CVE-2023-45826Leantime - это система управления проектами с открытым исходным кодом. Переменная 'userId' в `app/domain/files/repositories/class.files.php` не параметризована. Аутентифицированный злоумышленник может отправить тщательно разработанный POST-запрос к `/api/jsonrpc`, чтобы использовать уязвимость SQL-инъекции. Конфиденциальность нарушается, поскольку это позволяет выгружать информацию из базы данных. Эта проблема была решена в версии 2.4-beta-4. Пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2024-27477В Leantime 3.0.6 существует уязвимость межсайтового скриптинга в функциональности создания и изменения тикетов, позволяющая злоумышленникам внедрять вредоносный код JavaScript в поле заголовка тикетов (также известных как to-do). Эта сохраненная уязвимость XSS может быть использована для выполнения атак Server-Side Request Forgery (SSRF).
CVE-2025-28254Уязвимость межсайтового скриптинга в Leantime v3.2.1 и ранее позволяет аутентифицированному злоумышленнику выполнять произвольный код и получать конфиденциальную информацию через поле имени в processMentions().
CVE-2024-27703Уязвимость Cross Site Scripting в Leantime 3.0.6 позволяет удаленному злоумышленнику выполнить произвольный код через параметр to-do title.
CVE-2023-33961Leantime — это упрощенная система управления проектами с открытым исходным кодом. Начиная с версии 2.3.21, аутентифицированный пользователь с правами комментирования может внедрить вредоносный Javascript в комментарий. Как только вредоносный комментарий загружается в браузер пользователем, выполняется вредоносный код Javascript. На момент публикации исправление отсутствует.
CVE-2024-27476Leantime 3.0.6 уязвим для внедрения HTML через /dashboard/show#/tickets/newTicket.