nvd
Rockoa
Уязвимости
28
Эксплуатируемые
0
Критический
7
Высокий
7
Топ уязвимостей
CVE-2025-63742Уязвимость SQL Injection в функции setwxqyAction в файле webmain/task/api/loginAction.php в Xinhu Rainrock RockOA 2.7.0, позволяющей злоумышленникам получать конфиденциальную информацию, включая учетные записи администратора, хешеи паролей, структуру базы данных и другие критические данные через параметры shouji и userid.
CVE-2023-49363Rockoa <2.3.3 уязвим для SQL-инъекций. Проблема существует в методе indexAction в reimpAction.php.
CVE-2023-48930xinhu xinhuoa 2.2.1 содержит уязвимость, связанную с загрузкой файлов.
CVE-2023-1773Уязвимость была найдена в Rockoa 2.3.2. Она была объявлена критической. Эта уязвимость затрагивает неизвестный код файла webmainConfig.php компонента Configuration File Handler. Манипуляция приводит к инъекции кода. Атаку можно инициировать удаленно. Эксплойт был раскрыт общественности и может быть использован. VDB-224674 - идентификатор, присвоенный этой уязвимости.
CVE-2020-18716SQL Injection в Rockoa v1.8.7 позволяет удаленным злоумышленникам получать привилегии из-за слабой фильтрации параметров в wordAction.php.
CVE-2020-18714SQL Injection в Rockoa v1.8.7 позволяет удаленным злоумышленникам получать привилегии из-за слабой фильтрации параметров в функции getdata wordModel.php.
CVE-2020-18713SQL Injection в Rockoa v1.8.7 позволяет удаленным злоумышленникам получать привилегии из-за слабой фильтрации параметров в customerAction.php.
CVE-2023-1501В RockOA 2.3.2 обнаружена уязвимость, классифицированная как критическая. Это затрагивает функцию runAction файла acloudCosAction.php.SQL. Манипулирование аргументом fileid приводит к неограниченной загрузке. Атаку можно инициировать удаленно. Эксплойт был обнародован и может быть использован. Этой уязвимости присвоен идентификатор VDB-223401.
CVE-2019-9846RockOA 1.8.7 позволяет удаленным злоумышленникам получать конфиденциальную информацию, поскольку метод webmain/webmainAction.php publictreestore небезопасно конструирует предложение SQL WHERE, используя параметры pidfields и idfields, известные как фоновая SQL-инъекция.
CVE-2020-20593Подделка межсайтовых запросов (CSRF) в Rockoa v1.9.8 позволяет аутентифицированному злоумышленнику произвольно добавлять учетную запись администратора.
CVE-2023-5297В Xinhu RockOA 2.3.2 обнаружена уязвимость. Она была классифицирована как проблемная. Это затрагивает функцию start файла task.php?m=sys|runt&a=beifen. Манипулирование приводит к раскрытию файла резервной копии неавторизованной сфере контроля. Атаку можно инициировать удаленно. Сложность атаки довольно высока. Эксплуатируемость считается сложной. Эксплойт был обнародован и может быть использован. Идентификатор этой уязвимости - VDB-240927.
CVE-2023-5296В Xinhu RockOA 1.1/2.3.2/15.X3amdi обнаружена уязвимость, классифицированная как проблемная. Проблема затрагивает неизвестную функциональность файла api.php?m=reimplat&a=index компонента Password Handler. Манипулирование приводит к слабому восстановлению пароля. Атаку можно начать удаленно. Эксплойт был обнародован и может быть использован. VDB-240926 - идентификатор, присвоенный этой уязвимости.
CVE-2022-45041SQL-инъекция существует в xinhu < 2.5.0.
CVE-2020-35388rainrocka xinhu 2.1.9 позволяет удаленным злоумышленникам получать конфиденциальную информацию через запрос index.php?a=gettotal, в котором значение ajaxbool манипулируется, чтобы быть истинным.
CVE-2024-57151Уязвимость SQL-инъекции в rainrocka xinhu v.2.6.5 и более ранних версиях позволяет удаленному злоумышленнику выполнять произвольный код через файл inputAction.php и функцию saveAjax.
CVE-2025-63737Уязвимость межсайтового скриптинга (XSS) в функции urltestAction в файле cliAction.php в Xinhu Rainrock RockOA 2.7.0 позволяет удаленным злоумышленникам вводить произвольный веб-скрипт или HTML через параметр m в конекторную точку task.php.
CVE-2024-37624В Xinhu RockOA v2.6.3 обнаружена уязвимость отраженного межсайтового скриптинга (XSS) через компонент /chajian/inputChajian.php.
CVE-2024-37623В Xinhu RockOA v2.6.3 обнаружена уязвимость отраженного межсайтового скриптинга (XSS) через компонент /kaoqin/tpl_kaoqin_locationchange.html.
CVE-2024-37622В Xinhu RockOA v2.6.3 обнаружена уязвимость отраженного межсайтового скриптинга (XSS) через параметр num в /flow/flow.php.
CVE-2024-7327В Xinhu RockOA 2.6.2 обнаружена уязвимость, классифицированная как критическая. Эта уязвимость затрагивает функцию dataAction файла /webmain/task/openapi/openmodhetongAction.php. Манипулирование аргументом nickName приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. VDB-273250 — идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2020-21147RockOA V1.9.8 подвержен cross-site scripting (XSS) уязвимости, которая позволяет удаленным злоумышленникам отправлять вредоносный код администратору и выполнять JavaScript код, поскольку webmain/flow/input/mode_emailmAction.php не выполняет строгую фильтрацию.
CVE-2025-63740Уязвимость SQL Injection в функции получает datadataAjax в файле dataAction.php в Xinhu Rainrock RockOA 2.7.0, позволяя злоумышленникам получать конфиденциальную информацию, включая учетные записи администратора, хэши паролей, структуру базы данных и другие критические данные через параметр actstr.
CVE-2025-63739Была обнаружена проблема в функции phpinisaveAction в файле webmain/system/cogini/coginiAction.php в Xinhu Rainrock RockOA 2.7.0, позволяющей злоумышленникам аутентифицировать пользователей для изменения файлов конфигурации PHP через параметр в конечную точку index.php.
CVE-2025-63738В файле index.php была обнаружена проблема в Xinhu Rainrock RockOA 2.7.0, что позволило злоумышленникам получать конфиденциальную информацию через phpinfo через параметр к index.php.
CVE-2024-48213RockOA v2.6.5 уязвим для Directory Traversal в webmain/system/beifen/beifenAction.php.