Множественные XSS уязвимости в «Google API PHP Client»

Google API PHP Client — это серверная библиотека, разработанная в Google Inc., позволяющая работать с такими приложениями как Google+, Drive или YouTube. Библиотека написана на языке PHP. Две уязвимости типа XSS (Cross-Site Scripting) были обнаружены в файле «url-shortener.php». Обе уязвимости позволяют исполнять вредонсный JavaScript код на стороне клиента. Хоть и уязвимости относятся к классу пассивных[…]

SQL-инъекция в компоненте Joomla com_tag

В популярном компоненте com_tag v1.7.6 Joomla найдена SQL-инъекция. Эта уязвимость позволяет злоумышленнику удаленно выполнять вредоносные SQL-команды для компрометации веб-приложения или доступа к базе данных.

[далее]

Path Traversal в посудомоечной машине Miele

С каждым днём Web, всё больше становится неотъемлемой частью жизни каждого человека на земле, а в связи со стремительным развитием IoT (Internet of Things) – ещё и частью различной повседневной техники и аппаратуры, которая есть (или может быть) фактически у каждого человека. [далее]

Shell Upload в Nuxeo Platform 6.x / 7.x

Nuxeo Platform — это популярная система управления контентом для предприятий (CMS). Она включает сервер Apache Tomcat и может управляться через веб-интерфейс.

Одна из его функций позволяет аутентифицированным пользователям импортировать файлы в платформу. [далее]

Remote Code Execution в Moodle v3.2.1.

В популярной системе Moodle, в версиях до 3.2.1, была обнаружена уязвимость (CVE-2017-2641), которая позволяет злоумышленнику выполнять PHP-код на уязвимом сервере Moodle. Выполнение кода происходит только при наличии прав администратора, которые можно получить через SQL-инъекцию.

[далее]