anchore_overrides,nvd
Wallosapp
Уязвимости
19
Эксплуатируемые
0
Критический
2
Высокий
9
Топ продуктов
Топ уязвимостей
CVE-2024-55372Wallos <=2.38.2 имеет уязвимость загрузки файлов в функцию восстановления базы данных, которая позволяет неаутентифицированным пользователям восстанавливать базу данных путем загрузки ZIP-файла. Содержимое ZIP-файла извлекается на сервере. Эта функция позволяет неаутентифицированному злоумышленнику загружать вредоносные файлы на сервер. После установки веб-оболочки злоумышленник получает возможность выполнять произвольные команды.
CVE-2024-55371Wallos <= 2.38.2 имеет уязвимость загрузки файлов в функции восстановления резервного копирования, которая позволяет аутентифицированным пользователям восстанавливать резервные копии путем загрузки ZIP-файла. Содержимое ZIP-файла извлекается на сервере. Эта функция позволяет аутентифицированному злоумышленнику (если администратор не требуется) загружать вредоносные файлы на сервер. После установки веб-оболочки злоумышленник получает возможность выполнять произвольные команды.
CVE-2026-30840Wallos - это самостоячный персональный трекер подписки с открытым исходным кодом. До версии 4.6.2 в тестировщиках уведомлений имеется уязвимость для подделки запроса на сервер. Этот вопрос был исправлен в версии 4.6.2.
CVE-2026-30828Wallos - это персональный трекер подписки с открытым исходным кодом и хостинг. До версии 4.6.2 параметр url можно использовать для извлечения локальных системных файлов. Этот вопрос был исправлен в версии 4.6.2.
CVE-2026-33407Wallos - это самостоятельным персональным трекером подписки с открытым исходным кодом. До версии 4.7.0, Wallos endpoints/logos/search.php принимает переменные среды HTTP_PROXY и HTTPS_PROXY без проверки, что позволяет SSRF через угон прокси. Сервер выполняет разрешение DNS на пользовательских поисковых запросах, которые могут контролироваться злоумышленниками, чтобы вызвать исходящие запросы в произвольные домены. Этот вопрос был исправлен в версии 4.7.0.
CVE-2024-29320Wallos до версии 1.15.3 уязвим для SQL-инъекции через параметры category и payment в /subscriptions/get.php.
CVE-2026-41688Wallos - это персональный трекер подписки с открытым исходным кодом. В версиях 4.8.4 и предшествующих неполное исправление SSRF в Wallos проверяет URL-адреса webhook через gethostbyname(), но передает первоначальное имя хоста cURLL без CURLOPT_RESOLVE, прикрепляясь к 10 из 11 исходящих конечных точек HTTP, оставляя окно повторного подключения DNS TOCTOU. На момент публикации нет общедоступных патчей.
CVE-2026-33399Wallos - это самостоятельный персональный трекер подписки с открытым исходным кодом. До версии 4.7.0 фиксация SSRF, применяемая в версии 4.6.2 для CVE-2026-30839 и CVE-2026-30840, является неполной. Защита validate_webhook_url_for_ssrf() была добавлена в конечные точки уведомления test*, но не к соответствующим конечным точкам сохранения*. Аутентифицированный пользователь может сохранить внутренний/частный IP-адрес в качестве URL-адреса уведомлений, и когда выполняется работа cronnotifications.php, запрос отправляется на внутренний IP-адрес без какой-либо проверки SSRF. Эта проблема была исправлена в версии 4.7.0.
CVE-2026-27479Wallos - это персональный трекер подписки с открытым исходным кодом. Версии 4.6.0 и ниже содержат уязвимость Server-Side Reggery (SSRF) в функции загрузки логотипа/иконки подписки и оплаты. Приложение проверяет IP-адрес предоставленного URL перед поступлением запроса, но позволяет перенаправления HTTP (CURLOPT_FOLLOWLOCATION = true), позволяя злоумышленнику обходить валидацию IP и получать доступ к внутренним ресурсам, включая конечные точки метаданных в облаке. Функция getLogoFromUrl() проверяет URL, разрешая имя хоста и проверяя, находится ли полученный IP в частном или зарезервированном диапазоне, используя FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE. Однако последующий запрос cURL настраивается с CURLOPT_FOLLOWLCATION = true и CURLOPT_MAXREDIRS = 3, что означает, что запрос будет следовать за перенаправлениями HTTP без повторной проверки IP-адреса назначения. Эта проблема исправлена в версии 4.6.1.
CVE-2026-33417Wallos - это самостоятельно мессенсорный персональный трекер подписки. До версии 4.7.2 токены сброса пароля в Wallos никогда не истекают. Таблица password_reets включает в себя столбец созданной метки времени, но логика проверки токенов никогда не проверяет ее. Сброс пароля остается в силе на неопределенный срок до тех пор, пока он не будет использован, что позволяет злоумышленнику, который перехватывает ссылку на сброс в любой момент, использовать ее через несколько дней, недель или месяцев. Эта проблема была исправлена в версии 4.7.2.
CVE-2026-33401Wallos - это персональный трекер подписки с открытым исходным кодом. До версии 4.7.0 патч, введенный в комплект e8a513591 (CVE-2026-30840), добавил защиту SSRF для тестирования конечных точек уведомления, но оставил три дополнительные поверхности атаки незащищенными: параметр хоста AI Ollama, конечную точку рекомендаций AI и работу с кронами уведомлений. Аутентифицированный пользователь может получить внутренние сетевые службы, конечные точки облачных метаданных (AWS IMDSv1, GCP, Azure IMDS) или службы, связанные с локальными хостами, путем предоставления созданного URL-адреса любой из этих конечных точек. Этот вопрос был исправлен в версии 4.7.0.
CVE-2026-30841Wallos - это самостоячный персональный трекер подписки с открытым исходным кодом. До версии 4.6.2 passwordreset.php выводит $_GET["token"] и $_GET["email"] непосредственно в атрибуты входного значения HTML с помощью <?= $токена ?> и <?= email ?> без вызова htmlspecialchars(). Это позволяет отразить XSS, вырываясь из контекста атрибутов. Этот вопрос был исправлен в версии 4.6.2.
CVE-2024-57386Уязвимость межсайтового скриптинга в Wallos v.2.41.0 позволяет удаленному злоумышленнику выполнять произвольный код через функцию изображения профиля.
CVE-2026-41689Wallos - это персональный трекер подписки с открытым исходным кодом. В версиях 4.8.4 и ранее функция уведомления Webhook повторно использует сконфигурированный администратором список разрешений локального шкала для каждого зарегистрированного пользователя. Любой обычный пользователь может полностью контролировать URL-адрес веб-хука, заголовки и тело, а затем использовать Wallos для отправки запросов на стороне сервера для разрешенных служб внутренней автоматизации. Когда такая цель выявляет API-интерфейсы развертывания или исполнения, это может дополнительно включить RCE смежной службы, но результат вниз по течению зависит от целевой службы. На момент публикации нет общедоступных патчей.
CVE-2026-33400Wallos - это персональный трекер подписки с открытым исходным кодом. До версии 4.7.0, сохраненная уязвимость кросс-сайтов (XSS) в способе оплаты конечная точка переименования позволяет любому аутентифицированному пользователю вводить произвольный JavaScript, который выполняется при посещении любого пользователя на страницах «Настройки», «Подписки» или «Статистика». В сочетании с файлом cookie аутентификации wallos_login, не имеющим флага HttpOnly, это позволяет захватить полный сеанс. Этот вопрос был исправлен в версии 4.7.0.
CVE-2026-30839Wallos - это персональный трекер подписки с открытым исходным кодом и самоуправляемым. До версии 4.6.2 testwebhooknotifications.php не проверяет целевой URL-адрес по частным/зарезервированным диапазонам IP, что позволяет полностью читаемый SSRF. Ответ сервера возвращается звонителю. Этот вопрос был исправлен в версии 4.6.2.
CVE-2024-22776Wallos 0.9 уязвим для Cross Site Scripting (XSS) во всех текстовых полях ввода без надлежащей проверки, за исключением тех, которые требуют определенного формата, например, полей даты.
CVE-2026-41687Wallos - это персональный трекер подписки с открытым исходным кодом. До версии 4.8.1 защита SSRF в конечных точках/subscription/add.php (линия 42) и конечных точках/платежа/add.php (линия 40) использует встроенную проверку проверки IP (FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE), которая не блокирует адреса CGNAT (100. Файл включает/ssrf_helper.php явно определяет is_cgnat_ip() для покрытия этого разрыва (используется конечными точками уведомлений), но URL-адрес логотипа / иконки, получающий в конце подписки и оплаты, выполняет свою собственную встроенную проверку, которая пропускает этот диапазон. Это позволяет аутентифицированным пользователям выполнять Blind SSRF для внутренних служб в Tailscale, Carrier-Grade NAT и других средах с использованием адресов 100.64.0.0/10. Эта проблема была исправлена в версии 4.8.1.
CVE-2026-30842Wallos - это самостоячный персональный трекер подписки с открытым исходным кодом. До версии 4.6.2 Wallos позволяет аутентифицированному пользователю удалять файлы аватара, загруженные другими пользователями. КОНговая точка удаления аватара не проверяет, принадлежит ли запрашиваемый аватар текущему пользователю. В результате любой аутентифицированный пользователь, который знает или может обнаружить загруженное имя файла аватара другого пользователя, может удалить этот файл. Этот вопрос был исправлен в версии 4.6.2.