V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,bdu

Xxyopen

Уязвимости
54
Эксплуатируемые
0
Критический
25
Высокий
9

Топ продуктов

Топ уязвимостей

CVE-2025-45890Уязвимость Directory Traversal в новом плюсе перед v.5.1.0 позволяет удаленному злоумышленнику выполнять произвольный код через параметр filePath
CVE-2024-25274Уязвимость произвольной загрузки файлов в компоненте /sysFile/upload Novel-Plus v4.3.0-RC1 позволяет злоумышленникам выполнять произвольный код посредством загрузки специально созданного файла.
CVE-2024-24026В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость произвольной загрузки файлов в com.java2nb.system.controller.SysUserController: uploadImg(). Злоумышленник может передать специально созданный параметр filename для выполнения произвольной загрузки файлов.
CVE-2024-24025В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость произвольной загрузки файлов в com.java2nb.common.controller.FileController: upload(). Злоумышленник может передать специально созданный параметр filename для выполнения произвольной загрузки файлов.
CVE-2024-24024В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость произвольной загрузки файлов в com.java2nb.common.controller.FileController: fileDownload(). Злоумышленник может передать специально созданные параметры filePath и fieName для выполнения произвольной загрузки файлов.
CVE-2024-24023В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /novel/bookContent/list.
CVE-2024-24021В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /novel/userFeedback/list.
CVE-2024-24019В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /system/roleDataPerm/list.
CVE-2024-24018В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /system/dataPerm/list.
CVE-2024-24017В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /common/dict/list.
CVE-2024-24015В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL через /sys/user/exit.
CVE-2024-24014В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /novel/author/list.
CVE-2024-24013В Novel-Plus v4.3.0-RC1 и более ранних версиях существует уязвимость SQL-инъекции. Злоумышленник может передать специально созданные параметры offset, limit и sort для выполнения SQL-инъекции через /novel/pay/list.
CVE-2024-0941В Novel-Plus 4.3.0-RC1 обнаружена уязвимость, классифицированная как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла /novel/bookComment/list. Манипуляция аргументом sort приводит к SQL-инъекции. Эксплойт был обнародован и может быть использован. Этой уязвимости был присвоен идентификатор VDB-252185. ПРИМЕЧАНИЕ: С поставщиком было заблаговременно связались по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-0655В Novel-Plus 4.3.0-RC1 обнаружена уязвимость, которая была классифицирована как критическая. Эта уязвимость затрагивает неизвестную функциональность файла /novel/bookSetting/list. Манипуляция аргументом sort приводит к SQL-инъекции. Эксплойт был раскрыт публично и может быть использован. Связанным идентификатором этой уязвимости является VDB-251383.
CVE-2023-46981Уязвимость SQL-инъекции в Novel-Plus v.4.2.0 позволяет удаленному злоумышленнику выполнить произвольный код через специально созданный скрипт в параметре sort в /common/log/list.
CVE-2023-37847В novel-plus v3.6.2 обнаружена уязвимость SQL-инъекции.
CVE-2023-30058novel-plus 3.6.2 уязвим для SQL Injection.
CVE-2023-1606Уязвимость была обнаружена в novel-plus 3.6.2 и классифицирована как критическая. Этой проблемой затронута некоторая неизвестная функциональность файла DictController.java. Манипулирование аргументом orderby приводит к SQL-инъекции. Атака может быть запущена удаленно. Эксплойт был опубликован и может быть использован. Идентификатором этой уязвимости является VDB-223736.
CVE-2023-1594Уязвимость, классифицированная как критическая, была обнаружена в novel-plus 3.6.2. Затронута функция MenuService файла sys/menu/list. Манипулирование аргументом sort приводит к SQL-инъекции. Возможно запустить атаку удаленно. Эксплойт был опубликован и может быть использован. VDB-223662 является идентификатором, присвоенным этой уязвимости.
CVE-2022-36672В Novel-Plus v3.6.2 обнаружен жестко закодированный ключ JWT, расположенный в файле конфигурации проекта. Эта уязвимость позволяет злоумышленникам создавать пользовательский сеанс.
CVE-2022-35121Обнаружено, что Novel-Plus v3.6.1 содержит уязвимость SQL-инъекции через параметр keyword в /service/impl/BookServiceImpl.java.
CVE-2022-24568Обнаружено, что Novel-plus v3.6.0 уязвим для Server-Side Request Forgery (SSRF) через предоставленные пользователем обработанные входные данные.
CVE-2021-42967Неограниченная загрузка файлов в /novel-admin/src/main/java/com/java2nb/common/controller/FileController.java в novel-plus всех версий позволяет злоумышленнику загружать вредоносные JSP-файлы.
CVE-2021-41921novel-plus V3.6.1 допускает неограниченную загрузку файлов. Неограниченные суффиксы и содержимое файлов могут привести к атакам на сервер и выполнению произвольного кода.
Открыть в каталоге с фильтром по вендору →