util.c в runV 1.0.0 для Docker неправильно обрабатывает числовое имя пользователя, что позволяет злоумышленникам получать root-доступ, испо…
util.c в runV 1.0.0 для Docker неправильно обрабатывает числовое имя пользователя, что позволяет злоумышленникам получать root-доступ, используя наличие начального числового значения в строке /etc/passwd, а затем выдавая команду "docker exec" с этим значением в аргументе -u, что аналогично проблеме CVE-2016-3697.
Продукт использует или задаёт кодировку при формировании вывода для нижестоящего компонента, однако указанная кодировка не совпадает с ожидаемой нижестоящим компонентом.
https://cwe.mitre.org/data/definitions/838.html →Открыть в коллекции CWE →Злоумышленник использует внедрение каскадных таблиц стилей (CSS) для кражи данных из другого домена в браузере жертвы. Атака основана на злоупотреблении стандартами загрузки CSS: 1. Файлы cookie отправляются при любой загрузке CSS (в том числе межсайтовой). 2. При синтаксическом анализе возвращённого CSS игнорируются все данные, не имеющие смысла, до тех пор пока CSS-анализатор не обнаружит допустимый CSS-дескриптор.
https://capec.mitre.org/data/definitions/468.html →Открыть в коллекции CAPEC →