当前节点:cve
时间节点
2022年10月1日 03:32最新CVE
The package css-what before 2.1.3 are vulnerable to Regular Expression Denial of Service (ReDoS) due to the usage of insecure regular expression in the re_attr variable of index.js. The exploitation of this vulnerability could be triggered via the parse function.

由于在 index.js 的 re _ attr 变量中使用了不安全的正则表达式,css-what 包在2.1.3之前容易受到正则表达式分布式拒绝服务攻击(redoS)的攻击。这个漏洞的利用可以通过解析函数触发。
2022年10月1日 03:32最新CVE
The package react-native-reanimated before 3.0.0-rc.1 are vulnerable to Regular Expression Denial of Service (ReDoS) due to improper usage of regular expression in the parser of Colors.js.

由于 Colors.js 的解析器中正则表达式的使用不当,在3.0.0-rc. 1之前复活的包很容易受到正则表达式分布式拒绝服务攻击(reDoS)的攻击。
2022年10月1日 03:32最新CVE
In affected versions of Octopus Deploy it is possible to bypass rate limiting on login using null bytes.

在受影响的八达通部署版本中,可以使用空字节绕过登录时的速率限制。
2022年10月1日 03:32最新CVE
Relative Path Traversal in GitHub repository dnnsoftware/dnn.platform prior to 9.11.0.

9.11.0之前 GitHub 存储库 dnnsoftware/dnn.Platform 中的相对路径遍历。
2022年10月1日 03:32最新CVE
A memory corruption vulnerability exists in the libpthread linuxthreads functionality of uClibC 0.9.33.2 and uClibC-ng 1.0.40. Thread allocation can lead to memory corruption. An attacker can create threads to trigger this vulnerability.

UClibC 0.9.33.2和 uClibC-ng 1.0.40的 libpthread linuxthread 功能存在内存损坏漏洞。线程分配可能导致内存损坏。攻击者可以创建线程来触发此漏洞。
2022年10月1日 03:32最新CVE
** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2022. Notes: none.

“拒绝”不要使用这个号码。顾问 ID: 无。原因: 2022年期间,申请这一候选人的中央评估机构或个人没有将其与任何脆弱性联系起来。注意: 没有。
2022年10月1日 03:32最新CVE
Use After Free in GitHub repository vim/vim prior to 9.0.0614.

在9.0.0614之前在 GitHub 存储库 vim/vim 中使用 After Free。
2022年10月1日 03:32最新CVE
Cross-site Scripting (XSS) - Stored in GitHub repository inventree/inventree prior to 0.8.3.

跨网站脚本(XSS)-在0.8.3之前存储在 GitHub 存储库中;。
2022年10月1日 03:32最新CVE
Allocation of Resources Without Limits or Throttling in GitHub repository ikus060/rdiffweb prior to 2.5.0a3.

在2.5.0 a3之前在 GitHub 存储库 ikus060/reffweb 中无限制或节流地分配资源。
2022年10月1日 03:32最新CVE
hms-staff.php in Projectworlds Hospital Management System Mini-Project through 2018-06-17 allows SQL injection via the type parameter.

到2018-06-17的 Projectworld 医院管理系统迷你项目中的 hms-staff. php 允许通过 type 参数进行 SQL 注入。
2022年10月1日 03:32最新CVE
DGIOT Lightweight industrial IoT v4.5.4 was discovered to contain multiple cross-site scripting (XSS) vulnerabilities.

DGIOT 轻量级工业物联网 v4.5.4被发现包含多个跨网站脚本(xSS)漏洞。
2022年10月1日 03:32最新CVE
Discourse is an open source discussion platform. In versions prior to 2.8.9 on the `stable` branch and prior to 2.9.0.beta10 on the `beta` and `tests-passed` branches, admins can upload a maliciously crafted Zip or Gzip Tar archive to write files at arbitrary locations and trigger remote code execution. The problem is patched in version 2.8.9 on the `stable` branch and version 2.9.0.beta10 on the `beta` and `tests-passed` branches. There are no known workarounds.

语篇是一个开源的讨论平台。在“稳定”分支上的2.8.9之前的版本和2.9.0之前的版本中。在 beta 和 test-pass 分支上,管理员可以上传恶意制作的 Zip 或 Gzip Tar 归档文件,在任意位置编写文件,并触发远程代码执行。这个问题是在“稳定”分支的2.8.9版和2.9.0版中修补的。在“ beta”和“通过测试”的分支上使用 beta 10。没有已知的变通方法。
2022年10月1日 03:32最新CVE
Discourse is an open source discussion platform. In versions prior to 2.8.9 on the `stable` branch and prior to 2.9.0.beta10 on the `beta` and `tests-passed` branches, a moderator can create new and edit existing themes by using the API when they should not be able to do so. The problem is patched in version 2.8.9 on the `stable` branch and version 2.9.0.beta10 on the `beta` and `tests-passed` branches. There are no known workarounds.

语篇是一个开源的讨论平台。在“稳定”分支上的2.8.9之前的版本和2.9.0之前的版本中。在“ beta”和“测试通过”的分支上,版主可以使用 API 创建新的和编辑现有的主题,当他们不能这样做的时候。这个问题是在“稳定”分支的2.8.9版和2.9.0版中修补的。在“ beta”和“通过测试”的分支上使用 beta 10。没有已知的变通方法。
2022年10月1日 03:32最新CVE
SnapCenter versions prior to 4.7 shipped without Content Security Policy (CSP) implemented which could allow certain types of attacks that otherwise would be prevented.

4.7之前的 SnapCenter 版本没有实现内容安全策略(Content Security Policy,CSP) ,因此可以允许某些类型的攻击,否则这些攻击是可以防止的。
2022年10月1日 03:32最新CVE
IBM Robotic Process Automation Clients are vulnerable to proxy credentials being exposed in upgrade logs. IBM X-Force ID: 235422.

IBMRoboticProcessAutomationClient 很容易受到升级日志中公开的代理凭据的影响。
2022年10月1日 03:32最新CVE
Discourse is an open source discussion platform. In versions prior to 2.8.9 on the `stable` branch and prior to 2.9.0.beta10 on the `beta` and `tests-passed` branches, a malicious actor can add large payloads of text into the Location and Website fields of a user profile, which causes issues for other users when loading that profile. A fix to limit the length of user input for these fields is included in version 2.8.9 on the `stable` branch and version 2.9.0.beta10 on the `beta` and `tests-passed` branches. There are no known workarounds.

语篇是一个开源的讨论平台。在“稳定”分支上的2.8.9之前的版本和2.9.0之前的版本中。在“ beta”和“ test-pass”分支上,恶意参与者可以向用户配置文件的“位置”和“网站”字段添加大量有效文本,这会给其他用户加载该配置文件时带来问题。“稳定”分支的2.8.9版本和2.9.0版本中包含了限制这些字段的用户输入长度的修复程序。在“ beta”和“通过测试”的分支上使用 beta 10。没有已知的变通方法。
2022年10月1日 03:32最新CVE
Discourse is an open source discussion platform. Starting with version 2.9.0.beta5 and prior to version 2.9.0.beta10, an incomplete quote can generate a JavaScript error which will crash the current page in the browser in some cases. Version 2.9.0.beta10 added a fix and tests to ensure incomplete quotes won't break the app. As a workaround, the quote can be fixed via the rails console.

语篇是一个开源的讨论平台。从2.9.0版本开始。Beta 5及2.9.0版本之前的版本。Beta10,一个不完整的引用可能会产生一个 JavaScript 错误,在某些情况下会使浏览器中的当前页面崩溃。版本2.9.0。Beta10添加了一个修复和测试,以确保不完整的报价不会破坏应用程序。作为解决方案,报价可以通过 Rails 控制台修复。
2022年10月1日 03:32最新CVE
Matrix JavaScript SDK is the Matrix Client-Server software development kit (SDK) for JavaScript. Prior to version 19.7.0, an attacker cooperating with a malicious homeserver could interfere with the verification flow between two users, injecting its own cross-signing user identity in place of one of the users’ identities. This would lead to the other device trusting/verifying the user identity under the control of the homeserver instead of the intended one. The vulnerability is a bug in the matrix-js-sdk, caused by checking and signing user identities and devices in two separate steps, and inadequately fixing the keys to be signed between those steps. Even though the attack is partly made possible due to the design decision of treating cross-signing user identities as Matrix devices on the server side (with their device ID set to the public part of the user identity key), no other examined implementations were vulnerable. Starting with version 19.7.0, the matrix-js-sdk has been modified to double check 
2022年10月1日 03:31最新CVE
matrix-rust-sdk is an implementation of a Matrix client-server library in Rust, and matrix-sdk-crypto is the Matrix encryption library. Prior to version 0.6, when a user requests a room key from their devices, the software correctly remembers the request. When the user receives a forwarded room key, the software accepts it without checking who the room key came from. This allows homeservers to try to insert room keys of questionable validity, potentially mounting an impersonation attack. Version 0.6 fixes this issue.

Matrix-ust-sdk 是 Rust 中 Matrix 客户机-服务器库的一个实现,Matrix-sdk-crypto 是 Matrix 加密库。在0.6版本之前,当用户从他们的设备请求房间钥匙时,软件会正确地记住请求。当用户收到一个转发的房间钥匙,软件接受它没有检查谁的房间钥匙来自。这允许主机服务器尝试插入有效性可疑的房间密钥,从而可能安装模拟攻击。版本0.6修复了这个问题。
2022年10月1日 03:31最新CVE
matrix-nio is a Python Matrix client library, designed according to sans I/O principles. Prior to version 0.20, when a users requests a room key from their devices, the software correctly remember the request. Once they receive a forwarded room key, they accept it without checking who the room key came from. This allows homeservers to try to insert room keys of questionable validity, potentially mounting an impersonation attack. Version 0.20 fixes the issue.

Matrix-nio 是一个 Python Matrix 客户端库,根据 sans I/O 原则设计。在0.20版本之前,当用户从他们的设备请求房间钥匙时,软件会正确地记住请求。一旦他们收到一个转发的房间钥匙,他们接受它没有检查谁的房间钥匙来自。这允许主机服务器尝试插入有效性可疑的房间密钥,从而可能安装模拟攻击。版本0.20修复了这个问题。
2022年10月1日 03:31最新CVE
isolated-vm is a library for nodejs which gives the user access to v8's Isolate interface. In versions 4.3.6 and prior, if the untrusted v8 cached data is passed to the API through CachedDataOptions, attackers can bypass the sandbox and run arbitrary code in the nodejs process. As of time of publication, there are no known fixed versions or workarounds.

隔离 -vm 是 nodejs 的库,它使用户能够访问 v8的隔离接口。在版本4.3.6和更高版本中,如果不受信任的 v8缓存数据通过 CachedDataOptions 传递给 API,攻击者可以绕过沙箱,在 nodejs 进程中运行任意代码。到发布时为止,还没有已知的固定版本或工作区。
2022年10月1日 03:31最新CVE
A misconfiguration in the Service Mode profile directory of Clash for Windows v0.19.9 allows attackers to escalate privileges and execute arbitrary commands when Service Mode is activated.

在 Clash for Windows v0.19.9的 Service Mode profile 目录中的一个错误配置允许攻击者在激活 Service Mode 时升级特权并执行任意命令。
2022年10月1日 03:31最新CVE
A buffer overflow in the component nfc_device_load_mifare_ul_data of Flipper Devices Inc., Flipper Zero before v0.65.2 allows attackers to cause a Denial of Service (DoS) via a crafted NFC file.

在 v0.65.2版本之前,Flipper 设备公司的 NFC _ device _ load _ mifare _ ul _ data 组件中的缓冲区溢出允许攻击者通过一个精心制作的 NFC 文件引起分布式拒绝服务攻击(DoS)。
2022年10月1日 03:31最新CVE
A zip slip vulnerability in the file upload function of Chamilo v1.11 allows attackers to execute arbitrary code via a crafted Zip file.

Chamilo v1.11文件上传功能中的一个压缩漏洞允许攻击者通过一个精心制作的压缩文件执行任意代码。
2022年10月1日 03:31最新CVE
FeehiCMS v2.1.1 was discovered to contain a cross-site scripting (XSS) vulnerability via a crafted payload injected into the Comment box under the Single Page module.

FeehiCMS v2.1.1被发现包含一个跨网站脚本(XSS)漏洞,这个漏洞是通过一个精心设计的有效载荷注入到“单页”模块下的“评论”框中发现的。
2022年10月1日 03:31最新CVE
ZKTeco Xiamen Information Technology ZKBio Time 8.0.7 Build: 20220721.14829 was discovered to contain a CSV injection vulnerability. This vulnerability allows attackers to execute arbitrary code via a crafted payload injected into the Content text field of the Add New Message module.

厦门 ZKTeco 信息技术 ZKBio Time 8.0.7 Build: 20220721.14829发现包含 CSV 注入漏洞。此漏洞允许攻击者通过插入到 Add New Message 模块的 Content 文本字段中的精心制作的有效负载执行任意代码。
2022年10月1日 03:31最新CVE
TOTOLINK A860R V4.1.2cu.5182_B20201027 was discovered to contain a command injection via the component /cgi-bin/downloadFile.cgi.

发现 TOTOLINK A860R V4.1.2cu. 5182 _ B20201027通过组件/cgi-bin/downloadFile.cgi 包含命令注入。
2022年10月1日 03:31最新CVE
kkFileView v4.1.0 is vulnerable to Cross Site Scripting (XSS) via the parameter 'errorMsg.'

KkFileView v4.1.0通过参数‘ errorMsg’容易受到跨网站脚本(XSS)的攻击
2022年10月1日 03:31最新CVE
SourceCodester Best Student Result Management System 1.0 is vulnerable to SQL Injection.

SourceCodester Best Student Result Management System 1.0易受 SQL 注入的影响。
2022年10月1日 03:31最新CVE
A vulnerability in /src/amf/amf-context.c in Open5GS 2.4.10 and earlier leads to AMF denial of service.

Open5GS 2.4.10及更早版本的/src/AMF/AMF-context.c 中的一个漏洞会导致 AMF 分布式拒绝服务攻击。
2022年10月1日 03:31最新CVE
dutchcoders Transfer.sh 1.4.0 is vulnerable to Cross Site Scripting (XSS).

Sh1.4.0容易受到跨网站脚本(XSS)的攻击。
2022年10月1日 03:31最新CVE
In Amazon AWS Redshift JDBC Driver (aka amazon-redshift-jdbc-driver or redshift-jdbc42) before 2.1.0.8, the Object Factory does not check the class type when instantiating an object from a class name.

在2.1.0.8之前的 Amazon AWS Redshift JDBC Driver (又名 Amazon-Redshift-JDBC-Driver 或 Redshift-jdbc42)中,对象工厂在根据类名实例化对象时不检查类类型。
2022年10月1日 03:31最新CVE
An issue was discovered in Bento4 through 1.6.0-639. A NULL pointer dereference occurs in AP4_File::ParseStream in Core/Ap4File.cpp, which is called from AP4_File::AP4_File.

在 Bento4到1.6.0-639中发现了一个问题。NULL 指针解引用发生在 Core/Ap4File.cpp 中的 AP4 _ File: : ParseStream 中,这是从 AP4 _ File: : AP4 _ File 调用的。
2022年10月1日 03:31最新CVE
An issue was discovered in Xpdf 4.04. There is a crash in gfseek(_IO_FILE*, long, int) in goo/gfile.cc.

在 Xpdf 4.04中发现了一个问题,goo/gfile.cc 中的 gfsearch (_ IO _ FILE * ,long,int)崩溃了。
2022年10月1日 03:31最新CVE
An issue was discovered in Xpdf 4.04. There is a crash in convertToType0 in fofi/FoFiType1C.cc, a different vulnerability than CVE-2022-38928.

在 Xpdf 4.04中发现了一个问题,fofi/fofiType1c.cc 中的 ConverttoType0崩溃了,这是一个不同于 CVE-2022-38928的漏洞。
2022年10月1日 03:31最新CVE
An issue was discovered in Xpdf 4.04. There is a crash in XRef::fetch(int, int, Object*, int) in xpdf/XRef.cc, a different vulnerability than CVE-2018-16369 and CVE-2019-16088.

在 Xpdf 发现了一个问题。在 xpdf/XRef.cc 的 XRef: : get (int,int,Object * ,int)中出现了崩溃,这是一个不同于 CVE-2018-16369和 CVE-2019-16088的漏洞。
2022年10月1日 03:31最新CVE
An issue was discovered in Bento4 1.6.0-639. There ie excessive memory consumption in the function AP4_Array<AP4_ElstEntry>::EnsureCapacity in Core/Ap4Array.h.

在 Bento41.6.0-639中发现了一个问题。在函数 AP4 _ Array < AP4 _ ElstEntry > : : Ensure卷在 Core/Ap4Array.h 中有过多的内存消耗。
2022年10月1日 03:31最新CVE
An issue was discovered in Bento4 1.6.0-639. There ie excessive memory consumption in the function AP4_DataBuffer::ReallocateBuffer in Core/Ap4DataBuffer.cpp.

在 Bento41.6.0-639中发现了一个问题。在 Core/Ap4DataBuffer.cpp 中的函数 AP4 _ DataBuffer: : ReallocateBuffer 中存在过多的内存消耗。
2022年10月1日 03:31最新CVE
An issue was discovered in Bento4 1.6.0-639. A memory leak exists in AP4_StdcFileByteStream::Create(AP4_FileByteStream*, char const*, AP4_FileByteStream::Mode, AP4_ByteStream*&) in System/StdC/Ap4StdCFileByteStream.cpp.

在 Bento41.6.0-639中发现了一个问题。在 System/StdC/Ap4StdCFileByteStream.cpp 中创建(AP4 _ FileByteStream * ,char const * ,AP4 _ FileByteStream: : Mode,AP4 _ ByteStream * &)。
2022年10月1日 03:31最新CVE
drivers/char/pcmcia/synclink_cs.c in the Linux kernel through 5.19.12 has a race condition and resultant use-after-free if a physically proximate attacker removes a PCMCIA device while calling ioctl, aka a race condition between mgslpc_ioctl and mgslpc_detach.

通过5.19.12的 Linux 内核中的 drivers/char/PCMCIA/synclink _ cs.c 有一个竞态条件,如果物理上接近的攻击者在调用 ioctl 时移除了 PCMCIA 设备,即 mgslpc _ ioctl 和 mgslpc _ detach 之间的一个竞态条件,那么结果就是免费后使用。
2022年10月1日 03:31最新CVE
drivers/video/fbdev/smscufx.c in the Linux kernel through 5.19.12 has a race condition and resultant use-after-free if a physically proximate attacker removes a USB device while calling open(), aka a race condition between ufx_ops_open and ufx_usb_disconnect.

从5.19.12到5.19.12,Linux 内核中的 drive/video/fbdev/smscufx.c 有一个竞态条件,如果物理上接近的攻击者在调用 open ()时移除了 USB 设备,即 ufx _ ops _ open 和 ufx _ USB _ disconnect 之间的一个竞态条件,那么结果就是免费后使用。
2022年10月1日 03:31最新CVE
roccat_report_event in drivers/hid/hid-roccat.c in the Linux kernel through 5.19.12 has a race condition and resultant use-after-free in certain situations where a report is received while copying a report->value is in progress.

在5.19.12之前的 Linux 内核驱动程序/hide/hide-roccat.c 中的 roccat _ report _ event 有一个竞态条件,并且在某些情况下,当复制一个 report-> 值时收到一个报告,在此情况下会产生一个 use-after-free。
2022年9月30日 15:35最新CVE
Networking OS10, versions 10.5.1.x, 10.5.2.x, and 10.5.3.x contain a vulnerability that could allow an attacker to cause a system crash by running particular security scans.

网络 OS10,10.5.1. x,10.5.2. x 和10.5.3. x 版本包含一个漏洞,可能允许攻击者通过运行特定的安全扫描引起系统崩溃。
2022年9月29日 19:34最新CVE
Double free in DOMStorage in Google Chrome prior to 73.0.3683.75 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

在73.0.3683.75之前,Chrome 浏览器中的 DOMStorage 中的双重免费允许远程攻击者通过一个精心制作的 HTML 页面潜在地利用堆损坏。
2022年9月29日 19:34最新CVE
A vulnerability has been disclosed in thinx-device-api IoT Device Management Server before version 2.5.0. Device MAC address can be spoofed. This means initial registration requests without UDID and spoofed MAC address may pass to create new UDID with same MAC address. Full impact needs to be reviewed further. Applies to all (mostly ESP8266/ESP32) users. This has been fixed in firmware version 2.5.0.

在 Thinx-Device-api 物联网设备管理服务器2.5.0版之前,已经公开了一个漏洞。设备 MAC 地址可以被欺骗。这意味着没有 UDID 和欺骗 MAC 地址的初始注册请求可以通过创建具有相同 MAC 地址的新 UDID。全面影响需要进一步审查。适用于所有(主要是 ESP8266/ESP32)用户。在固件版本2.5.0中已经修复了这个问题。
2022年9月29日 19:34最新CVE
A stored Cross-Site Scripting (XSS) vulnerability exists in version 1.0 of the Expense Management System application that allows for arbitrary execution of JavaScript commands through index.php.

在费用管理系统应用程序的1.0版本中存在一个存储跨网站脚本(XSS)漏洞,该漏洞允许通过 index.php 任意执行 JavaScript 命令。
2022年9月29日 19:34最新CVE
Due to improper sanitization MedData HBYS software suffers from a remote SQL injection vulnerability. An unauthenticated attacker with the web access is able to extract critical information from the system.

由于不正确的消毒 MedDataHBYS 软件遭受远程 SQL 注入漏洞。具有 web 访问权限的未经身份验证的攻击者能够从系统中提取关键信息。
2022年9月29日 19:34最新CVE
Due to improper sanitization MedData HBYS software suffers from a remote SQL injection vulnerability. An unauthenticated attacker with the web access is able to extract critical information from the system.

由于不正确的消毒 MedDataHBYS 软件遭受远程 SQL 注入漏洞。具有 web 访问权限的未经身份验证的攻击者能够从系统中提取关键信息。
2022年9月29日 19:34最新CVE
The simplified implementation of blocking reads and writes introduced in Tomcat 10 and back-ported to Tomcat 9.0.47 onwards exposed a long standing (but extremely hard to trigger) concurrency bug in Apache Tomcat 10.1.0 to 10.1.0-M12, 10.0.0-M1 to 10.0.18, 9.0.0-M1 to 9.0.60 and 8.5.0 to 8.5.77 that could cause client connections to share an Http11Processor instance resulting in responses, or part responses, to be received by the wrong client.

在 Tomcat 10中引入的阻塞读写操作的简化实现,以及从后端移植到 Tomcat 9.0.47的操作,暴露了 Apache Tomcat 10.1.0到10.1.0-M12、10.0.0-M1到10.0.18、9.0.0-M1到9.0.60和8.5.0到8.5.77中长期存在的(但极难触发)并发 bug,这可能导致客户端连接共享一个 Http11Processor 实例,从而导致响应或部分响应被错误的客户端接收。
2022年9月29日 19:34最新CVE
In GraphicsMagick, a heap buffer overflow was found when parsing MIFF.

在 GraphicsMagick 中,在解析 MIFF 时发现堆缓冲区溢出。
2022年9月29日 19:34最新CVE
IBM Application Gateway is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 221965.

IBM 应用程序网关容易受到跨网站脚本攻击。此漏洞允许用户在 Web UI 中嵌入任意的 JavaScript 代码,从而改变预期的功能,这可能导致在受信任会话中公开凭据。IBM X-Force ID: 221965.
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 a remote, unauthenticated attacker could make use of hard-coded credentials to gain full access to the device.

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,未经身份验证的远程攻击者可以利用硬编码凭证获得对设备的完全访问权限。
2022年9月29日 19:34最新CVE
An improper authentication vulnerability exists in the Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 Web-App which allows an authentication bypass to the context of an unauthorised user if free-access is disabled.

多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY 停车场服务器存在不正确的认证漏洞,如果禁用自由访问,则允许对未授权用户的上下文进行认证旁路。
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 an unauthenticated remote attacker could utilize a SQL-Injection vulnerability to gain full database access, modify users and stop services .

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获得完整的数据库访问、修改用户和停止服务。
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 an remote attacker with admin rights could execute arbitrary commands due to missing input sanitization in the backup restore function

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,由于在备份恢复功能中缺少输入消毒,具有管理权限的远程攻击者可以执行任意命令
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 a missing authentication allows for full access via API.

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,缺少的身份验证允许通过 API 进行完全访问。
2022年9月29日 19:34最新CVE
A flaw was discovered in ECE before 3.1.1 that could lead to the disclosure of the SAML signing private key used for the RBAC features, in deployment logs in the Logging and Monitoring cluster.

在3.1.1之前的 ECE 中发现了一个缺陷,可能导致在日志记录和监视集群的部署日志中披露用于 RBAC 特性的 SAML 签名私钥。
2022年9月29日 19:34最新CVE
In affected versions of Octopus Deploy it is possible to reveal the Space ID of spaces that the user does not have access to view in an error message when a resource is part of another Space.

在受影响的八达通部署版本中,当一个资源是另一个空间的一部分时,可以在错误消息中显示用户无法查看的空间的空间 ID。
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 a remote, unauthenticated attacker could utilize an improper input validation on an API-submitted parameter to execute arbitrary OS commands.

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,未经身份验证的远程攻击者可以利用 API 提交参数上的不正确的输入验证来执行任意的操作系统命令。
2022年9月29日 19:34最新CVE
In Carlo Gavazzi UWP3.0 in multiple versions and CPY Car Park Server in Version 2.8.3 a remote, unauthenticated attacker could make use of hard-coded credentials to gain SuperUser access to the device.

在多个版本的 Carlo Gavazzi UWP3.0和版本2.8.3的 CPY Car Park Server 中,未经身份验证的远程攻击者可以利用硬编码凭证获得超级用户访问设备的权限。