nvd,bdu
Stimulsoft
Уязвимости
10
Эксплуатируемые
0
Критический
5
Высокий
2
Топ уязвимостей
BDU:2026-04655Уязвимость обработки события отправки отчета по электронной почте генератора отчётов Reports.PHP связана с использованием опасных методов или функций. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, записать на диск произвольный файл
CVE-2024-24398Уязвимость обхода каталога в Stimulsoft GmbH Stimulsoft Dashboard.JS до v.2024.1.2 позволяет удаленному злоумышленнику выполнить произвольный код через специально созданную полезную нагрузку в параметр fileName функции Save.
CVE-2023-25261Некоторые продукты Stimulsoft GmbH подвержены удаленному выполнению кода. Это касается Stimulsoft Designer (Desktop) 2023.1.4 и Stimulsoft Designer (Web) 2023.1.3 и Stimulsoft Viewer (Web) 2023.1.3. Доступ к локальной файловой системе ничем не ограничен. Таким образом, атакующий может включить исходный код, который читает или записывает локальные каталоги и файлы. Также возможно, что атакующий подготовит отчет, который будет содержать переменную с собранными данными и отобразит это в отчете.
CVE-2021-42777Stimulsoft (aka Stimulsoft Reports) 2013.1.1600.0, при использовании Compilation Mode, позволяет злоумышленнику выполнить произвольный код C# на любой машине, которая отображает отчет, включая сервер приложений или локальную машину пользователя, как продемонстрировано System.Diagnostics.Process.Start.
CVE-2020-15865Уязвимость удаленного выполнения кода в Stimulsoft (aka Stimulsoft Reports) 2013.1.1600.0 позволяет злоумышленнику кодировать скрипты C# в формате base-64 в файле XML отчета, чтобы они компилировались и выполнялись на сервере, который обрабатывает этот файл. Это можно использовать для полного компрометации сервера.
CVE-2023-25262Stimulsoft GmbH Stimulsoft Designer (Web) 2023.1.3 уязвим к подделке запросов на стороне сервера (SSRF). Отчетный дизайнер (Web) предлагает возможность встраивания источников из внешних мест. Если пользователь выбирает внешнее местоположение, запрос к этому ресурсу выполняется сервером, а не клиентом. Таким образом, сервер генерирует исходящий трафик и потенциально импортирует данные. Атакующий также может использовать это поведение для экстракции данных с машин в локальной сети сервера, на котором работает Stimulsoft Reporting Designer (Web).
CVE-2023-25260Stimulsoft Designer (Web) 2023.1.3 уязвим к локальному включению файлов.
CVE-2024-24396Уязвимость межсайтового скриптинга в Stimulsoft GmbH Stimulsoft Dashboard.JS до v.2024.1.2 позволяет удаленному злоумышленнику выполнить произвольный код через специально созданную полезную нагрузку в компоненте панели поиска.
CVE-2023-25263В Stimulsoft Designer (Desktop) 2023.1.5 и 2023.1.4, после декомпиляции Stimulsoft.report.dll атакующий может расшифровать любую строку подключения, сохраненную в файлах .mrt, поскольку используется статический секрет. Секрет не отличается между протестированными версиями и разными операционными системами.
CVE-2024-24397Уязвимость межсайтового скриптинга в Stimulsoft GmbH Stimulsoft Dashboard.JS до v.2024.1.2 позволяет удаленному злоумышленнику выполнить произвольный код через специально созданную полезную нагрузку в поле ReportName.