|
5 |
VoipMonitor Pre-Auth-RCE |
exploit |
web-application-attack |
Проблема удаленного выполнения кода в веб-интерфейсе VoIPmonitor до версии 24.61. При использовании опции перепроверки в файл config/configuration.php внедряется значение SPOOLDIR, предоставленное пользователем (которое может содержать PHP-код). |
http |
2021-30461 |
2021-03856 |
Linux, Windows |
26.08.2021 |
|
5 |
Geutebruck RCE |
exploit |
web-application-attack |
Многочисленные уязвимости в веб-интерфейсе управления Geutebruck могут позволить удаленному злоумышленнику, не прошедшему аутентификацию, выполнить атаки ввода команд на пораженном устройстве. |
http |
2021-33544 |
|
Linux, Windows |
26.08.2021 |
|
5 |
Zoom RCE PWN2OWN 2021 |
exploit |
web-application-attack |
RCE уязвимость в Zoom, найденная в рамках соревнований PWN2OWN 2021 года |
http |
|
|
Windows |
26.08.2021 |
|
5 |
Oracle WebLogic Server Administration Console Handle RCE |
exploit |
web-application-attack |
Уязвимость Oracle Fusion Middleware в продукте Oracle WebLogic Server позволяет неаутентифицированному злоумышленнику, имеющему доступ к сети через HTTP, взломать Oracle WebLogic Server. |
http |
2020-14750 |
2020-05059 |
Linux, Solaris, Windows |
26.08.2021 |
|
5 |
vBulletin subWidgets RCE |
exploit |
web-application-attack |
vBulletin 5.5.4–5.6.2 позволяет производить удаленное выполнение команд через переменную subWidgets в запросе ajax / render / widget_tabbedcontainer_tab_panel. |
http |
2020-17496 |
2021-04176 |
Linux, Windows |
26.08.2021 |
|
5 |
Apache Struts Freemarker RCE |
exploit |
web-application-attack |
В Apache Struts 2.0.0–2.3.33 и 2.5–2.5.10.1 использование непреднамеренного выражения в теге Freemarker вместо строковых литералов может привести к атаке RCE. |
http |
2020-12611 |
|
Linux, Windows |
26.08.2021 |
|
5 |
Nacos Server Authentication Bypass |
exploit |
web-application-attack |
В Nacos до версии 1.4.1 при настройке на использование аутентификации (-Dnacos.core.auth.enabled = true) Nacos использует фильтр сервлетов AuthFilter для обеспечения аутентификации. Этот фильтр имеет бэкдор, который позволяет серверам Nacos обходить этот фильтр и, следовательно, пропускать проверки аутентификации. |
http |
2021-29441 |
2021-04178 |
Linux, Windows |
26.08.2021 |
|
3 |
Atlassian JIRA Information Disclosure |
exploit |
web-application-attack |
Затронутые версии Atlassian Jira Server и Data Center позволяют удаленным злоумышленникам, не прошедшим проверку подлинности, просматривать настраиваемые имена полей и настраиваемые имена SLA с помощью уязвимости раскрытия информации в конечной точке /secure/QueryComponent!Default.jspa. |
http |
2020-14179 |
2021-04179 |
Linux, Windows |
26.08.2021 |
|
5 |
Microsoft Exchange Server RCE ProxyShell |
exploit |
web-application-attack |
Уязвимость RCE в MS Exchange Server под названием ProxyShell |
http |
2021-31207, 2021-34473, 2021-34523 |
2021-02608, 2021-04125, 2021-04126 |
Windows |
26.08.2021 |
|
4 |
HAProxy htx_add_header HTTP smuggle |
exploit |
web-application-attack |
В HAProxy от 2.0 до 2.5 в htx_add_header существует целочисленное переполнение, которое может быть использовано для тайного пронесения HTTP-запросов, что позволяет злоумышленнику обойти все настроенные HTTP-запросы HAProxy ACL и, возможно, другие ACL. |
http |
2021-40346 |
2022-06893 |
Linux, Windows |
13.09.2021 |
|
5 |
ZyXEL NAS pre-auth command injection |
exploit |
web-application-attack |
Устройства ZyXEL NAS версии 5.21 содержат уязвимость, связанную с внедрением команды предварительной аутентификации, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве. |
http |
2020-9054 |
2020-01128 |
Linux, Windows |
13.09.2021 |
|
5 |
DrayTek Vigor 2960 RCE |
exploit |
web-application-attack |
Устройства DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta и Vigor300B 1.3.3_Beta, 1.4.2.1_Beta и 1.4.4_Beta уязвимы к удаленному выполнению кода от имени пользователя root (без аутентификации) через метасимволы оболочки в URI cgi-bin / mainfunction.cgi . |
http |
2020-8515 |
2021-04387 |
Linux, Windows |
13.09.2021 |
|
5 |
MS Windows MSHTML RCE |
exploit |
web-application-attack |
Уязвимость Microsoft Windows MSHTML, связанная с удаленным выполнением кода. Злоумышленник может создать вредоносный элемент управления ActiveX, который будет использоваться документом Microsoft Office, в котором размещен механизм визуализации браузера. Атака выполняется при открытии пользователем вредоносного документа. |
http |
2021-40444 |
2021-04442 |
Windows |
13.09.2021 |
|
5 |
Zerologon vulnerability |
exploit |
web-application-attack |
Уязвимость, приводящая к несанкционированному получению прав, когда злоумышленник устанавливает уязвимое соединение безопасного канала Netlogon с контроллером домена с помощью протокола Netlogon Remote Protocol. |
tcp |
2020-1472 |
|
Windows |
16.09.2021 |
|
5 |
Azure OMI Auth Bypass RCE |
exploit |
web-application-attack |
Уязвимость удаленного выполнения кода в модуле OMI Azure |
http |
2021-38647 |
2021-05448 |
Linux, Windows |
20.09.2021 |
|
5 |
AlphaWeb XE RCE |
exploit |
web-application-attack |
Веб-часть аудиосервера Zenitel AlphaCom XE, называемая AlphaWeb XE, не ограничивает загрузку файлов в разделе Custom Scripts на php / index.php. |
http |
2021-40845 |
|
Linux, Windows |
20.09.2021 |
|
3 |
Atlassian Jira Server Arbitrary File Read |
exploit |
web-application-attack |
Сервер и центр обработки данных Atlassian Jira позволяют удаленным злоумышленникам читать определенные файлы с помощью уязвимости обхода пути в конечной точке /WEB-INF/web.xml. Уязвимые версии - до версии 8.5.14, от версии 8.6.0 до 8.13.6 и от версии 8.14.0 до 8.16.1. |
http |
2021-26086 |
|
Linux, Windows |
11.10.2021 |
|
5 |
Cisco ASA Unauthenticated File Access |
exploit |
web-application-attack |
Уязвимость в интерфейсе веб-служб программного обеспечения Cisco Adaptive Security Appliance (ASA) и программного обеспечения Cisco Firepower Threat Defense (FTD) может позволить неаутентифицированному удаленному злоумышленнику проводить атаки обхода каталогов и получать доступ для чтения и удаления к конфиденциальным файлам в целевой системе. |
http |
2020-3187 |
2020-02069 |
Cisco, Linux, Windows |
11.10.2021 |
|
4 |
Cisco ASA Directory Traversal |
exploit |
web-application-attack |
Уязвимость в интерфейсе веб-служб программного обеспечения Cisco Adaptive Security Appliance (ASA) и программного обеспечения Cisco Firepower Threat Defense (FTD) может позволить неаутентифицированному удаленному злоумышленнику проводить атаки с обходом каталогов и читать конфиденциальные файлы в целевой системе. |
http |
2020-3452 |
2020-04010 |
Cisco, Linux, Windows |
11.10.2021 |
|
4 |
Cisco ASA Info Disclosure |
exploit |
web-application-attack |
Уязвимость системы безопасности, обнаруженная в Cisco ASA, которая позволяет злоумышленнику просматривать конфиденциальную системную информацию без аутентификации с помощью методов обхода каталогов. |
http |
2018-0296 |
2018-01453 |
Cisco, Linux, Windows |
11.10.2021 |
