V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,anchore_overrides

Zoneland

Уязвимости
25
Эксплуатируемые
0
Критический
2
Высокий
1

Топ продуктов

Топ уязвимостей

CVE-2023-47418Уязвимость удаленного выполнения кода (RCE) в o2oa версии 8.1.2 и ниже позволяет злоумышленникам создавать новый интерфейс в функции управления сервисами для выполнения JavaScript.
CVE-2022-22916Обнаружено, что O2OA v6.4.7 содержит уязвимость удаленного выполнения кода (RCE) через /x_program_center/jaxrs/invoke.
CVE-2024-37777В O2OA версии 9.0.3 обнаружена уязвимость удаленного выполнения кода (RCE) через функцию mainOutput(). Уязвимость позволяет атакующему выполнить произвольный код на сервере. Для эксплуатации уязвимости злоумышленник может создать новый процесс в приложении, используя учетную запись администратора, и внедрить вредоносный скрипт, который будет выполнен при создании процесса обычным пользователем [1]. Источники: - [1] https://github.com/o2oa/o2oa/issues/158
CVE-2025-22994O2OA 9.1.3 уязвим для межсайтового скриптинга (XSS) в Meeting - Settings.
CVE-2024-3689В Zhejiang Land Zongheng Network Technology O2OA до 20240403 обнаружена уязвимость, классифицированная как проблематичная. Уязвима неизвестная функция файла /x_portal_assemble_surface/jaxrs/portal/list?v=8.2.3-4-43f4fe3. Манипулирование приводит к раскрытию информации. Атаку можно осуществить удаленно. Сложность атаки довольно высока. Эксплуатируемость считается трудной. Эксплойт был обнародован и может быть использован. VDB-260478 - это идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-35591Уязвимость произвольной загрузки файлов в O2OA v8.3.8 позволяет злоумышленникам выполнять произвольный код через загрузку поддельного PDF-файла.
CVE-2025-9655В O2OA выявлена слабость до 10,0-410. Это затрагивает неизвестную часть файла /x_organization_assemble_control/jaxrs/person/ компонента Личного профиля Page. Выполнение манипуляций с аргументом Описание может привести к кросс-сайту. Атака может быть запущена удаленно. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2026-2074Уязвимость была выявлена в O2OA до 9.0.0. Это влияет на неизвестную функцию файла /x_program_center/jaxrs/mpweixin/check компонента HTTP POST Request Обработчик. Манипуляция приводит к xml внешнему объекту ссылки. Можно инициировать атаку удаленно. Эксплойт является общедоступным и может быть использован. С поставщиком связались рано по поводу этого раскрытия, но он никоим образом не ответил.
CVE-2025-9737Уязвимость была обнаружена в O2OA до 10,0-410. Влияет неизвестная функция файла /x_query_assemble_designer/jaxrs/importmodel компонента Персональный профиль страницы. Применение манипуляций с аргументом описание/приложениеName/queryName приводит к написанию кросс-сайтов. Отдаленное использование атаки возможно. Эксплойт теперь публичный и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9736Уязвимость безопасности была обнаружена в O2OA до 10,0-410. Это влияет на неизвестную функцию файла /x_query_assemble_designer/jaxrs/state of the component Personal Profile Page. Такое манипулирование аргументом описание/queryName приводит к кросс-сайту. Атака может быть запущена дистанционно. Эксплойт был раскрыт публично и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9735В O2OA выявлена слабость до 10,0-410. Это влияет на неизвестную функцию файла /x_query_assemble_designer/jaxrs/table компонента Страницы личного профиля. Эта манипуляция аргументом description/applicationName/queryName вызывает кросс-сайт скриптирование. Атака может быть инициирована дистанционно. Эксплойт был доступен для общественности и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9734В O2OA обнаружен недостаток безопасности до 10,0-410. Пораженный элемент является неизвестной функцией файла /x_query_assemble_assemble_designer/jaxrs/stat компонента Страницы личного профиля. Манипуляция с аномалией/описание/приложениеName приводит к написанию сценариев кросс-сайта. Атака может быть запущена удаленно. Эксплойт был обнародован и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9719Слабость выявлена в O2OA до 10,0-410. Эта уязвимость затрагивает неизвестный код файла /x_processplatform_assemble_designer/jaxrs/script компонента Страницы личного профиля. Выполнение манипуляций с ником аргумента/псевдописей/описанием/применениемИменно может привести к написанию сценариев кросс-сайта. Нападение может быть выполнено дистанционно. Эксплойт был доступен для общественности и может быть использован.
CVE-2025-9718В O2OA обнаружен недостаток безопасности до 10.0-410. Это влияет на неизвестную часть файла /x_processplatform_assemble_designer/jaxrs/процесс компонента Персональный профиль. Выполнение манипуляций с аргументом имя/псевдознания приводит к написанию кросс-сайтов. Отдаленное использование атаки возможно. Эксплойт был обнародован и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): «Эта проблема будет исправлена в новой версии».
CVE-2025-9717Уязвимость была выявлена в O2OA до 10,0-410. Затронута эта проблема некоторая неизвестная функциональность файла /x_organization_assemble_control/jaxrs/unit/ компонента Личного профиля Page. Такое манипулирование аргументом имя/коротконазванное название/выделенноеName/pinyin/pinyinInitial/levelName приводит к написанию кросс-сайтов. Атака может быть запущена дистанционно. Эксплойт является общедоступным и может быть использован.
CVE-2025-9716Уязвимость была определена в O2OA до 10.0-410. Затрагивается эта уязвимость неизвестной функциональность файла /x_processplatform_assemble_assemble_designer/jaxrs/форма компонента Персонального профиля Page. Эта манипуляция аргументом имя/псевдонима/описание вызывает перекрестный скрипт. Атака может быть инициирована дистанционно. Эксплойт был публично раскрыт и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9715Уязвимость была обнаружена в O2OA до 10,0-410. Затрагивается неизвестная функция файла /x_cms_assemble_control/jaxrs/script компонента Страницы личного профиля. Манипуляции с аргументом имя/псевдознания/описание приводит к написанию кросс-сайтов. Атака может быть запущена дистанционно. Эксплойт был обнародован и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9683Уязвимость была обнаружена в O2OA до 10,0-410. От этой проблемы затронуты некоторые неизвестные функциональные возможности файла /x_cms_assemble_control/jaxrs/form компонента Персонального профиля Page. Манипуляции приводят к сценарию кросс-сайтов. Атака может быть запущена дистанционно. Эксплойт был обнародован и может быть использован. Поставщик ответил в выпуске GitHub (в переводе с упрощенного китайского): «Эта проблема будет исправлена в новой версии».
CVE-2025-9682Уязвимость обнаружена в O2OA до 10.0-410. Пострадала эта уязвимость от неизвестной функциональности файла /x_cms_assemble_control/jaxrs/design/appdict компонента Персональный профиль страницы. Манипуляции приводят к сценарию кросс-сайтов. Атака может быть инициирована дистанционно. Эксплойт был раскрыт общественности и может быть использован. Поставщик ответил в выпуске GitHub (в переводе с упрощенного китайского): «Эта проблема будет исправлена в новой версии».
CVE-2025-9681В O2OA обнаружен недостаток до 10,0-410. Поражена неизвестная функция файла /x_program_center/jaxrs/агента компонента «Личный профиль страницы». Выполнение манипуляций может привести к написанию сценариев кросс-сайта. Атака может быть запущена удаленно. Эксплойт был опубликован и может быть использован. Поставщик ответил в выпуске GitHub (в переводе с упрощенного китайского): «Эта проблема будет исправлена в новой версии».
CVE-2025-9680Уязвимость была обнаружена в O2OA до 10.0-410. Это влияет на неизвестную функцию файла /x_portal_assemble_designer/jaxrs/page компонента Страницы личного профиля. Выполнение манипуляций приводит к написанию кросс-сайтов. Атака может быть инициирована дистанционно. Эксплойт теперь публичный и может быть использован. Поставщик ответил в выпуске GitHub (в переводе с упрощенного китайского): «Эта проблема будет исправлена в новой версии».
CVE-2025-9659Уязвимость была обнаружена в O2OA до 10.0-410. Пораженный элемент является неизвестной функцией файла /x_portal_assemble_designer/jaxrs/widget компонента «Страница личного профиля». Такие манипуляции приводят к кросс-сценарии. Атака может быть выполнена дистанционно. Эксплойт был раскрыт общественности и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9658В O2OA обнаружен недостаток до 10,0-410. Затронута неизвестная функция файла /x_portal_assemble_assemble_designer/jaxrs/dict/ компонента Личного профиля Page. Эта манипуляция аргументом имя/псевдонима/описание вызывает перекрестный сценарий сайта. Удаленная эксплуатация атаки возможна. Эксплойт был опубликован и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9657Уязвимость была обнаружена в O2OA до 10.0-410. Эта проблема затрагивает некоторую неизвестную обработку файла /x_program_center/jaxrs/script компонента Персональный профиль страницы. Манипуляция с аргументом имя/псевдознания/описание приводит к написанию сценариев кросс-сайта. Атака может быть запущена дистанционно. Эксплойт теперь публичный и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
CVE-2025-9646В O2OA обнаружен недостаток безопасности до 10.0-410. Эта уязвимость затрагивает неизвестный код файла /x_organization_assemble_personal/jaxrs/definition/calendarConfig. Манипуляция аргументом с MonthViewNam приводит к написанию сценариев кросс-сайтов. Атака может быть запущена дистанционно. Эксплойт был обнародован и может быть использован. Продавец ответил в выпуске GitHub (в переводе с упрощенного китайского): "Эта проблема будет исправлена в новой версии".
Открыть в каталоге с фильтром по вендору →