nvd
Xorux
Уязвимости
11
Эксплуатируемые
0
Критический
4
Высокий
3
Топ уязвимостей
CVE-2021-42371lpar2rrd - это жестко закодированная системная учетная запись в XoruX LPAR2RRD и STOR2RRD до версии 7.30.
CVE-2020-24032tz.pl на виртуальных устройствах XoruX LPAR2RRD и STOR2RRD 2.70 допускает внедрение команд cmd=set\u0026tz=OS через shell-метасимволы в часовом поясе.
CVE-2014-4982LPAR2RRD ≤ 4.53 и ≤ 3.5 имеет произвольное внедрение команд на сервере приложений.
CVE-2014-4981LPAR2RRD в версии 3.5 и более ранних позволяет удаленным злоумышленникам выполнять произвольные команды из-за недостаточной очистки входных данных параметров веб-интерфейса.
CVE-2025-54769Аутентифицированный пользователь может загрузить файл и выполнить обход каталога, чтобы загруженный файл был размещен в выбранном ими месте. Это может быть использовано для перезаписи существующих модулей PERL в приложении для достижения удаленного выполнения кода (RCE) злоумышленником.
CVE-2021-42372Внедрение команд оболочки в HW Events SNMP community в XoruX LPAR2RRD и STOR2RRD до версии 7.30 позволяет аутентифицированным удаленным злоумышленникам выполнять произвольные команды оболочки от имени пользователя, запускающего службу.
CVE-2021-42370Ситуация неправильного управления паролями существует в XoruX LPAR2RRD и STOR2RRD до версии 7.30, потому что информация в виде открытого текста присутствует в полях ввода пароля HTML в свойствах устройства. (Просмотр паролей требует настройки веб-браузера для отображения полей ввода пароля HTML).
CVE-2025-54767Аутентифицированный пользователь, только для чтения может убить любые процессы, запущенные на виртуальном устройстве Xormon Original, в качестве пользователя lpar2rd.
CVE-2025-54768Конечную точку API, которая должна быть ограничена администраторами веб-приложений, скрыта, но доступна пользователями веб-приложений более низкого уровня. Конечную точку можно использовать для загрузки журналов из конфигурации устройства, выявляя конфиденциальную информацию.
CVE-2025-54766Конечную точку API, которая должна быть ограничена администраторами веб-приложений, скрыта, но доступна пользователями веб-приложений более низкого уровня. Конечную точку можно использовать для экспорта конфигурации прибора, разоблачая конфиденциальную информацию.
CVE-2025-54765Конечную точку API, которая должна быть ограничена администраторами веб-приложений, скрыта, но доступна для пользователей веб-приложений более низкого уровня. Конечную точку можно использовать для импорта конфигурации прибора, что позволяет злоумышленнику контролировать конфигурацию прибора, включая предоставление себе разрешений на административном уровне.