|
5 |
ColdFusion CF2021U3 Reflected XSS Vulnerability |
exploit |
misc-activity |
Версии ColdFusion CF2021U3 (и более ранние) и CF2018U13 подвержены отраженной уязвимости межсайтового скриптинга (XSS). Если злоумышленнику удается убедить жертву посетить URL-адрес, ссылающийся на уязвимую страницу, вредоносное содержимое JavaScript может быть выполнено в контексте браузера жертвы. |
http |
2022-28818 |
|
MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2017-11930) |
exploit |
misc-activity |
ChakraCore и Internet Explorer в Microsoft Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows 8.1 и Windows RT 8.1, Windows Server 2012 R2, Windows 10 Gold, 1511, 1607, 1703, 1709 и Windows Server 2016 позволяют злоумышленнику выполнить произвольный код в контексте текущего пользователя из-за того, как обработчик сценариев обрабатывает объекты в памяти, также известный как «уязвимость повреждения памяти обработчика сценариев». Этот идентификатор CVE уникален из CVE-2017-11886, CVE-2017-11889, CVE-2017-11890, CVE-2017-11893, CVE-2017-11894, CVE-2017-11895, CVE-2017-11901, CVE- 2017-11903, CVE-2017-11905, CVE-2017-11905, CVE-2017-11907, CVE-2017-11908, CVE-2017-11909, CVE-2017-11910, CVE-2017-11911, CVE-2017- 11912, CVE-2017-11913, CVE-2017-11914 и CVE-2017-11916. |
http |
2017-11930 |
|
Windows, MacOS, Linux |
24.04.2023 |
12.05.2025 |
|
5 |
jQuery 3.4.0 jQuery.extend() Object.prototype Overflow Vulnerability |
exploit |
misc-activity |
jQuery до версии 3.4.0, используемая в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...) из-за переполненного Object.prototype. Если исходный объект не проверен и содержит перечисляемое свойство _proto_, тогда он может расширять собственный Object.prototype. |
http |
2019-11358 |
|
MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
F5 BIG-IP iControl REST Authentication Bypass |
authentication-failures |
authentication bypass |
На F5 BIG-IP версий 16.1.x до 16.1.2.2, версий 15.1.x до 15.1.5.1, версий 14.1.x до 14.1.4.6, версий 13.1.x до 13.1.5 и всех версий 12.1.x и 11.6.x нераскрытые запросы могут обходить аутентификацию REST iControl. Примечание. Версии программного обеспечения, срок действия технической поддержки которых истек (EoTS), не оцениваются. |
http |
2022-1388 |
|
Linux |
24.04.2023 |
19.05.2025 |
|
5 |
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2017-11895) |
exploit |
misc-activity |
ChakraCore и Internet Explorer в Microsoft Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows 8.1 и Windows RT 8.1, Windows Server 2012 R2, а также Internet Explorer и Microsoft Edge в Windows 10 Gold, 1511, 1607, 1703, 1709 и Windows Server 2016 позволяет злоумышленнику получить те же права пользователя, что и текущий пользователь, из-за того, как обработчик сценариев обрабатывает объекты в памяти, также известной как «уязвимость повреждения памяти обработчика сценариев». Этот идентификатор CVE уникален из CVE-2017-11886, CVE-2017-11889, CVE-2017-11890, CVE-2017-11893, CVE-2017-11894, CVE-2017-11901, CVE-2017-11903, CVE- 2017-11905, CVE-2017-11907, CVE-2017-11908, CVE-2017-11909, CVE-2017-11910, CVE-2017-11911, CVE-2017-11912, CVE-2017-11913, CVE-2017- 11914, CVE-2017-11916, CVE-2017-11918 и CVE-2017-11930. |
http |
2017-11895 |
|
Windows, MacOS, Linux |
24.04.2023 |
12.05.2025 |
|
5 |
Nagios_xi Reflected XSS |
exploit |
misc-activity |
Уязвимость межсайтового скриптинга (XSS) в Nagios XI до версии 5.5.11 позволяет злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр xiwindow. |
http |
2019-9167 |
|
Other, MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Nopcommerce Using Slashes in Alternate Encoding |
exploit |
misc-activity |
nopCommerce 4.50.1 уязвим для обхода каталога через файл резервной копии в функции обслуживания. |
http |
2022-28451 |
|
Windows, Linux |
24.04.2023 |
12.05.2025 |
|
5 |
Microsoft Internet Explorer 11 Scripting Engine Memory Corruption Vulnerability (CVE-2017-11901) |
exploit |
misc-activity |
Internet Explorer в Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8.1 и Windows RT 8.1, Windows Server 2012 и R2, Windows 10 Gold, 1511, 1607, 1703, 1709 и Windows Server 2016 позволяет злоумышленнику получить те же права пользователя, что и текущий пользователь, из-за того, как Internet Explorer обрабатывает объекты в памяти. |
http |
2017-11901 |
|
Windows |
24.04.2023 |
12.05.2025 |
|
5 |
WordPress WPGraphQL Cross Site Request Forgery 0.2.3 |
exploit |
misc-activity |
Плагин WPGraphQL 0.2.3 для WordPress позволяет удаленным злоумышленникам регистрировать нового пользователя с правами администратора всякий раз, когда разрешена регистрация новых пользователей. Это связано с мутацией registerUser. |
http |
2019-9879 |
|
MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Splunk Enterprise 8.1.2 URI Path Traversal Vulnerability |
exploit |
misc-activity |
В версиях Splunk Enterprise до 8.1.2 путь uri для загрузки относительного ресурса на веб-странице уязвим для обхода путей. Это позволяет злоумышленнику внедрить в веб-страницу произвольное содержимое (например, HTML Injection, XSS) или обойти SPL-защиту для рискованных команд. Атака осуществляется через браузер. Атака не может быть использована злоумышленником произвольно и требует инициирования запроса в браузере жертвы (например, фишинг). |
http |
2022-26889 |
|
Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Microsoft ChakraCore, Microsoft Edge Overflow Buffers (CVE-2017-11914) |
exploit |
misc-activity |
ChakraCore и Microsoft Edge в Windows 10 1511, 1607, 1703, 1709 и Windows Server 2016 позволяют злоумышленнику получить те же права пользователя, что и текущий пользователь, из-за того, как скриптовый движок обрабатывает объекты в памяти. |
http |
2017-11914 |
|
Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Moodle Admin Shell Upload Vulnerability |
exploit |
misc-activity |
Указывает на возможную попытку загрузки вредоносной полезной нагрузки и ее выполнения на сервере, работающем под управлением Moodle. Уязвимость требует наличия действительных учетных данных администратора. |
http |
2019-11631 |
|
MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Pharmacy Management System v1.0 ProductImage.php Remote Code Execution Vulnerability |
exploit |
misc-activity |
В Pharmacy Management System v1.0 обнаружена уязвимость удаленного выполнения кода (RCE) через компонент /php_action/editProductImage.php. Данная уязвимость позволяет злоумышленникам выполнить произвольный код через созданный файл изображения. |
http |
2022-30887 |
|
Linux |
24.04.2023 |
12.05.2025 |
|
5 |
FasterXML jackson-databind 2.x Serialization Xalan.lib Code Execution Vulnerability |
exploit |
misc-activity |
FasterXML jackson-databind 2.x до 2.9.10.8 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (он же встроенный Xalan в org.glassfish. web/javax.servlet.jsp.jstl). |
http |
2020-35728 |
|
Windows, Linux |
24.04.2023 |
12.05.2025 |
|
5 |
Google Chrome 79.0.3945.79 Incorrect Data Validation Vulnerability |
exploit |
misc-activity |
Недостаточная проверка данных в SQLite в Google Chrome до версии 79.0.3945.79 позволяла удаленному злоумышленнику обходить меры глубокоэшелонированной защиты с помощью созданной HTML-страницы. |
http |
2019-13750 |
|
Windows |
24.04.2023 |
12.05.2025 |
|
5 |
GitLab OmniAuth Password Security Bypass |
exploit |
misc-activity |
Для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко запрограммированный пароль для учетных записей, что позволяло злоумышленникам потенциально захватывать аккаунты |
http |
2022-1162 |
|
Linux |
24.04.2023 |
12.05.2025 |
|
5 |
My_cloud_pr4100_firmware Identity Spoofing |
exploit |
misc-activity |
Проблема была обнаружена на устройствах Western Digital MyCloud PR4100 2.30.172. Компонент веб-администрирования, /web/jquery/uploader/multi_uploadify.php, предоставляет функцию многокомпонентной загрузки, которая доступна без аутентификации и может использоваться для размещения файла в любом месте файловой системы устройства. Это позволяет злоумышленнику загрузить оболочку PHP на устройство и получить выполнение произвольного кода от имени пользователя root. |
http |
2017-17560 |
|
Other, MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
Atlassian Jira CachingResourceDownloadRewriteRule class Information Disclosure |
exploit |
misc-activity |
Класс CachingResourceDownloadRewriteRule в Jira до версии 7.13.4, от версии 8.0.0 до версии 8.0.4 и от версии 8.1.0 до версии 8.1.1 позволяет удаленным злоумышленникам получать доступ к файлам в веб-корневом каталоге Jira в каталоге META-INF. через нестрогую проверку доступа к пути. |
http |
2019-8442 |
|
MacOS, Solaris, Linux, BSD, Windows |
24.04.2023 |
12.05.2025 |
|
5 |
OpenLDAP Blind SQL Injection |
exploit |
misc-activity |
В OpenLDAP 2.x до версии 2.5.12 и 2.6.x до версии 2.6.2 существует уязвимость SQL-инъекции в экспериментальной серверной части back-sql для slapd через оператор SQL в запросе LDAP. Это может произойти во время операции поиска LDAP, когда фильтр поиска обрабатывается из-за отсутствия надлежащего экранирования. |
tcp |
2022-29155 |
|
BSD, Linux |
24.04.2023 |
12.05.2025 |
|
5 |
Cambium ePMP 1000 GetChart Remote Command Injection |
exploit |
misc-activity |
В версии 3.5 и более ранних прошивках Cambium Networks ePMP отсутствие обработки входных данных для определенных параметров в веб-консоли управления позволяет любому аутентифицированному пользователю (включая пользователя с низкими привилегиями, доступного только для чтения) вводить метасимволы оболочки как часть специально- создал POST-запрос к функции get_chart и запускал команды уровня ОС, фактически от имени пользователя root. |
http |
2017-5255 |
|
BSD, Linux |
24.04.2023 |
12.05.2025 |
