V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Namelessmc

Уязвимости
20
Эксплуатируемые
0
Критический
1
Высокий
7

Топ продуктов

Топ уязвимостей

CVE-2025-22144NamelessMC — это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. Пользователь с разрешениями admincp.core.emails или admincp.users.edit может проверять пользователей, а злоумышленник может сбросить их пароль. Когда учетная запись успешно подтверждена по электронной почте, код сброса имеет значение NULL, но когда учетная запись подтверждается вручную пользователем с разрешениями admincp.core.emails или admincp.users.edit, reset_code больше не будет иметь значение NULL, а будет пустым. Злоумышленник может запросить http://localhost/nameless/index.php?route=/forgot_password/&c= и сбросить пароль. В результате злоумышленник может скомпрометировать пароль другого пользователя и захватить его учетную запись. Эта проблема была решена в версии 2.1.3, и всем пользователям рекомендуется выполнить обновление. Обходные пути для этой уязвимости отсутствуют.
CVE-2025-32389NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. До версии 2.1.4 NamelessMC был уязвим к SQL-инъекциям путем предоставления неожиданного синтаксиса GET-параметров в квадратных скобках. Синтаксис GET-параметров в квадратных скобках относится к структуре `?param[0]=a&param[1]=b&param[2]=c`, используемой PHP, которая разбирается PHP как `$_GET['param']` типа array. Этот баг был исправлен в версии 2.1.4 [1]. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-5984-mhcp-cq2x - [2] https://github.com/NamelessMC/Nameless/commit/02c81c7c45b98fad1ebe3bc085efae18aec4566f - [3] https://github.com/NamelessMC/Nameless/releases/tag/v2.1.4
CVE-2022-2820Session Fixation in GitHub repository namelessmc/nameless prior to v2.0.2.
CVE-2025-29784NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. В версии 2.1.4 и ранее, параметр s в GET-запросах для функциональности поиска форума не имеет проверки длины, что позволяет злоумышленникам отправлять чрезмерно длинные поисковые запросы. Это может привести к снижению производительности и потенциальным атакам типа "отказ в обслуживании" (DoS). Проблема была исправлена в версии 2.2.0 [1]. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-4hrq-rf96-c2jm - [2] https://github.com/NamelessMC/Nameless/commit/f5341e56930a98978171e0a871d60f19ab30ebdd - [3] https://github.com/NamelessMC/Nameless/releases/tag/v2.2.0
CVE-2022-2821Missing Critical Step in Authentication in GitHub repository namelessmc/nameless prior to v2.0.2.
CVE-2026-33398NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. В версии 2.2.4 `modules/Forum/pages/forum/get_quotes.php` проверяет только то, входит ли абонент в систему, затем читает сообщение контролируемого злоумышленником `post` ID и возвращает его содержимое. Бэкэнд-помощник в "модуле/Форуме/классах/Форумах.php`" не обеспечивает соблюдение форума или темы ACL. Напротив, обычная тематическая страница в `modules/Forum/forum/view_topic.php` обеспечивает видимость форума и `view_other_topics``. Любой низкопривилегированный аутентифицированный пользователь может перечислять идентификаторы постов и читать контент со скрытых, частных или только для персонала форумов. Версия 2.2.5 устраняет проблему.
CVE-2025-31118NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. В версии 2.1.4 и более ранних, функция быстрого ответа на форуме (view_topic.php) не реализует никакого механизма предотвращения спама. Это позволяет аутентифицированным пользователям непрерывно публиковать ответы без каких-либо временных ограничений, что приводит к неконтролируемому увеличению количества сообщений и нарушению нормальной работы. Эта проблема исправлена в версии 2.2.0 [1]. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-jhvp-mwj4-922m - [2] https://github.com/NamelessMC/Nameless/commit/51e9d93aaa28d40f060b807533d22b768abea207 - [3] https://github.com/NamelessMC/Nameless/releases/tag/v2.2.0 Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-jhvp-mwj4-922m - [2] https://github.com/NamelessMC/Nameless/commit/51e9d93aaa28d40f060b807533d22b768abea207 - [3] https://github.com/NamelessMC/Nameless/releases/tag/v2.2.0
CVE-2025-30158В NamelessMC версий 2.1.4 и ранее обнаружена уязвимость, связанная с возможностью внедрения iframe-элементов без ограничений на атрибуты width и height. Это позволяет аутентифицированному злоумышленнику выполнить атаку типа UI-based denial of service (DoS) путем внедрения oversized iframe, блокирующего нормальное взаимодействие с форумом. Проблема устранена в версии 2.2.0. Согласно источнику [1], уязвимость связана с конфигурацией HTMLPurifier, разрешающей iframe-элементы с минимальными ограничениями. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-2prx-rgr7-hq5f
CVE-2026-40314NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. В версии 2.2.4, `core/classes/Misc/ProfilePostReactionContext.php` только проверяет, что настенный пост существует и не обеспечивает видимость заблокированного/частного профиля. «Модули/Core/Core/queries/reactions.php` позволяет неаудовлетворить запросы GET для деталей реакции. Это означает, что неаутентифицированные посетители могут читать участников реакции и временные отметки для сообщений в личном профиле, а удаленные пользователи с низкой степенью привилегий могут добавлять реакции на частные или блокировочные сообщения профиля. Версия 2.2.5 исправляет проблему.
CVE-2025-30357NamelessMC - это бесплатное, легкое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. В версии 2.1.4 и более ранних, если злоумышленник оставлял спам-комментарии на многих темах, администратор, не имея возможности вручную удалить каждый спам-комментарий, мог удалить вредоносную учетную запись. После удаления учетной записи администратором все посты (комментарии) вместе с соответствующими темами (от других пользователей) будут помечены как удаленные. Эта проблема была исправлена в версии 2.2.0 [1]. Проблема возникает из-за каскадного удаления в базе данных при удалении пользователя. В версии 2.2.0 эта проблема была решена путем изменения действия при удалении на SET_NULL. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-22mc-7c9m-gv8h - [2] https://github.com/NamelessMC/Nameless/commit/7040924e27f99aa486c619a5b4ca809051a1ca7f - [3] https://github.com/NamelessMC/Nameless/releases/tag/v2.2.0
CVE-2025-22142NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов для серверов Minecraft. В уязвимых версиях администратор может добавить возможность пользователям заполнять дополнительное поле, и пользователи могут внедрить в него код javascript, который будет активирован, как только сотрудник посетит профиль пользователя на панели персонала. В результате злоумышленник может выполнить код javascript на компьютере сотрудника. Эта проблема была решена в версии 2.1.3, и всем пользователям рекомендуется выполнить обновление. Известных обходных путей для этой уязвимости нет.
CVE-2026-34460NamelessMC - это программное обеспечение для веб-сайтов для серверов Minecraft. В версиях 2.2.4 и предшествующей обработка обратного вызова OAuth не проверяет сервер сервера параметра состояния перед обменом кодом авторизации. Это позволяет злоумышленнику захватить действительный URL-адрес обратного вызова OAuth для своей собственной учетной записи и заставить браузер жертвы перейти к нему, в результате чего сеанс жертвы аутентифицируется как учетная запись, связанная злоумышленником (OAuth login CSRF / сессионный обмен). Это исправлено в версии 2.2.5.
CVE-2025-54421NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов для серверов Minecraft. Уязвимость межсайтового скриптинга (XSS) в NamelessMC до 2.2.4 позволяет удаленным аутентифицированным злоумышленникам вводить произвольный веб-скрипт или HTML через параметр, созданный по умолчанию_keywords. Эта уязвимость исправлена в пункте 2.2.4.
CVE-2025-54117NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов для серверов Minecraft. Уязвимость межсайтового скриптинга (XSS) в NamelessMC до 2.2.3 позволяет удаленным аутентифицированным злоумышленникам вводить произвольный веб-скрипт или HTML через компонент текстового редактора панели приборной панели. Эта уязвимость зафиксирована в пункте 2.2.4.
CVE-2026-40571NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. В версии 2.2.4 "core/classes/Misc/ProfilePostReactionContext.php`" только подтверждает, что настенный пост существует и не обеспечивает видимость заблокированного/частного профиля. Это означает, что аутентифицированные низкопривилегированные пользователи могут добавлять реакции на личные или блокировочные посты профиля. Версия 2.2.5 содержит патч.
CVE-2026-35447NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. В версии 2.2.4 страница профиля (модульы/Core/pages/profile.php) обрабатывает настенные сообщения и ответы перед проверкой того, уполномочен ли зритель получить доступ к профилю. Это позволяет любому пользователю с разрешением profile.post писать настенные сообщения в частные или блокировочные профили. Кроме того, ветвь ответов не проверяет, принадлежит ли целевой пост на стене текущего профиля, что позволяет злоумышленникам вводить ответы в произвольные настенные сообщения, принадлежащие другим профилям, через ограниченный URL-адрес профиля. Это исправлено в версии 2.2.5.
CVE-2026-35443NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. В версии 2.2.4 `modules/Forum/classes/ForumPostReactionContext.php` только подтверждает, что звонивший может просматривать форум, но он не повторно обеспечивает авторизацию теманого уровня `view_other_topics`. В результате на форумах, на которых пользователи могут выходить на форум, но могут просматривать только свои темы, реакции все еще могут быть прочитаны и изменены по темам других пользователей. Версия 2.2.5 исправляет проблему.
CVE-2025-54118NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов для серверов Minecraft. Информированное раскрытие информации в NamelessMC до 2.2.4 позволяет неаутентифицированному удаленному злоумышленнику получать конфиденциальную информацию, такую как абсолютный путь исходного кода с помощью параметра списка. Эта уязвимость зафиксирована в пункте 2.2.4.
CVE-2025-31120NamelessMC - это бесплатное, простое в использовании и мощное программное обеспечение для веб-сайтов серверов Minecraft. В версии 2.1.4 и более ранних присутствует небезопасный механизм подсчета просмотров на странице форума, позволяющий неаутентифицированному злоумышленнику искусственно увеличить количество просмотров. Приложение полагается на клиентский cookie (nl-topic-[tid]) (или переменную сессии для гостей), чтобы определить, следует ли учитывать просмотр. Когда клиент не предоставляет cookie, каждый запрос к странице увеличивает счетчик, что приводит к неверным метрикам просмотров. Эта проблема исправлена в версии 2.2.0 [1]. Источники: - [1] https://github.com/NamelessMC/Nameless/security/advisories/GHSA-8jv7-77jw-h646
CVE-2026-32250NamelessMC - это программное обеспечение веб-сайта для серверов Minecraft. Уязвимость Reflected Cross-Site Scripting (XSS) была обнаружена в версии 2.2.4 в параметре id конечной точки `/index.php?route=/Quies/user/`. Приложение отражает предоставленный пользователем входной ввод из параметра id в ответ HTML без надлежащей дезинфекции или кодирования вывода. Злоумышленник может создать вредоносный URL, содержащий код JavaScript. Когда жертва посещает созданный URL, введенный скрипт выполняется в браузере жертвы в контексте уязвимого приложения. Это может позволить злоумышленникам выполнять произвольный JavaScript, что может привести к захвату сеансов, фишинговым атакам или манипулированию контентом страницы. Версия 2.2.5 устраняет проблему.
Открыть в каталоге с фильтром по вендору →