Non vérification des capacités des utilisateurs permettant la divulgation de données sensibles aux abonnés et au-dessus.
Score: 4.3
Validation incorrecte de l'appartenance au canal permet aux utilisateurs désactivés de voir les noms d'équipes via l'API /common_teams.
Score: 3.1
Non vérification des permissions utilisateur permet aux attaquants authentifiés de lire le contenu des publications et des pièces jointes via l'API /create-issue.
Score: 4.3
Injection de code via la génération de schémas Avro non fiables permettant l'exécution de code arbitraire.
Score: 7.3
Mauvaise validation des en-têtes HTTP Range permettant l'accès à la mémoire du serveur au-delà de la réponse prévue.
Score: 5.3
Définition de privilèges avec des actions non sûres permettant l'élévation de privilèges via des ACL non correctement contraintes.
Score: 8.8
Contournement d'authentification permettant l'élévation de privilèges via un canal ou chemin alternatif.
Score: 8.8
Contournement d'autorisation via une clé contrôlée par l'utilisateur permettant l'exploitation d'identifiants de confiance.
Score: 8.3
Non validation des permissions utilisateur permettant la duplication de tâches dans des projets non accessibles.
Score: 4.3
Vulnérabilité XSS permettant l'exécution de scripts web arbitraires via l'injection d'une charge utile dans le paramètre Phone Number.
Score: 6.5
Exécution de code arbitraire via une réponse AJAX manipulée.
Score: 7.4
Vulnérabilité XSS permettant l'exécution de scripts web arbitraires via l'injection d'une charge utile dans le paramètre Item Category.
Score: 6.5
Vulnérabilité XSS permettant l'exécution de scripts web arbitraires via l'injection d'une charge utile dans les fonctions de gestion des articles et de facturation.
Score: 6.5
Dépassement de tampon de tableau dans le composant AMF permettant un déni de service via une requête de Registration Request NAS manipulée.
Score: 7.5
Dépassement de tampon de tas dans le composant UPF permettant un déni de service via une requête de modification de session PFCP manipulée.
Score: 7.5
Non-respect de la conformité du protocole permettant un déni de service via une requête de Setup Request PFCP non conforme.
Score: 7.5
Évasion de bac à sable via l'écriture de configurations .git non protégées permettant l'exécution de code à distance.
Score: 8.0
Permissions de fichiers faibles permettant un accès non autorisé et des attaques par déni de service.
Score: 6.1
Déni de service via une requête manipulée.
Score: 6.2
Vulnérabilité Zip Slip permettant l'exécution de commandes arbitraires via le téléchargement d'un fichier zip manipulé.
Score: 10.0
Dépassement de tampon basé sur la pile dans l'interpréteur ubasic permettant un crash via des littéraux de chaîne trop longs.
Score: 5.5
Absence de validation des chemins de fichiers fournis par l'utilisateur permettant l'écriture de fichiers dans des répertoires arbitraires.
Score: 7.5
Vulnérabilité de traversée de chemin permettant la lecture de fichiers arbitraires sur le serveur.
Score: 4.9
Vulnérabilité SSRF aveugle permettant de forcer le serveur à se connecter à des ressources arbitraires.
Score: 7.7
L'adaptateur de bloc local permet aux utilisateurs authentifiés de lire et écrire des fichiers en dehors des limites de stockage désignées.
Score: 8.1
Contournement d'authentification via le port TCP 9091 permettant l'accès non autorisé à toutes les opérations commerciales.
Score: 9.8
Désérialisation non sécurisée permettant l'exécution de code à distance via un fichier JSON manipulé.
Score: 7.8
Utilisation après libération dans CSS permettant l'exécution de code arbitraire via une page HTML manipulée.
Score: 8.8
Dépassement de tampon de pile dans l'intégration NetBeans permettant l'exécution de code arbitraire via une commande specialKeys manipulée.
Score: 5.4
Non vérification des capacités permettant la modification de données non autorisées et l'élévation de privilèges.
Score: 8.8
XSS stocké via les paramètres 'pysTrafficSource' et 'pys_landing_page' permettant l'injection de scripts web arbitraires.
Score: 7.2
XSS stocké via les paramètres 'pysTrafficSource' et 'pys_landing_page' permettant l'injection de scripts web arbitraires.
Score: 7.2
Contournement de liste blanche de domaines permettant l'accès non autorisé via l'en-tête X-Forwarded-Host.
Score: 8.1
Traversée de chemin permettant la lecture de fichiers arbitraires en dehors du répertoire /wp-content/plugins/.
Score: 4.9
Divulgation d'informations sensibles via des journaux de détection de spam accessibles publiquement.
Score: 5.3
Accès non autorisé aux données de réponse de formulaire via des actions AJAX sans vérification de capacité.
Score: 5.3
Référence d'objet directe non sécurisée permettant la modification des métadonnées de publications arbitraires.
Score: 5.3
Absence d'autorisation permettant la manipulation des statuts de commande via des notifications IPN falsifiées.
Score: 7.5
XSS stocké via le paramètre 'message' permettant l'injection de scripts web arbitraires.
Score: 6.1
XSS réfléchi via le chemin de l'URL permettant l'injection de scripts web arbitraires.
Score: 6.1
XSS stocké via le paramètre 'title' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le paramètre 'code' permettant l'injection de scripts web arbitraires.
Score: 6.4
Absence de validation de jeton nonce permettant la suppression d'événements arbitraires via une requête falsifiée.
Score: 4.3
XSS stocké via le paramètre AMP Custom CSS permettant l'injection de scripts web arbitraires.
Score: 4.4
Élévation de privilèges via une condition de course entre la création et la suppression de fichiers QR code.
Score: 8.1
Injection via la fonction id() permettant la lecture ou la suppression d'emails de la victime.
Score: 7.6
Absence de vérification de capacité permettant la modification du statut de rendez-vous arbitraires.
Score: 5.3
Absence de vérification de jeton nonce permettant la mise à jour des paramètres du plugin via une requête falsifiée.
Score: 4.3
Absence de vérification de jeton nonce permettant des actions administratives via des requêtes falsifiées.
Score: 4.3
XSS stocké via le paramètre 'hop_name' permettant l'injection de scripts web arbitraires.
Score: 4.4
Accès non autorisé aux messages de chat privés via l'endpoint /wp-json/guppylite/v2/channel-authorize.
Score: 5.3
XSS stocké via le shortcode 'wpda_app' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le shortcode 'stm_lms_courses_grid_display' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via les descriptions de catégories permettant l'injection de scripts web arbitraires.
Score: 4.4
Contournement d'autorisation permettant la lecture et la modification des métadonnées de pièces jointes arbitraires.
Score: 5.4
XSS stocké via le paramètre 'tab_color_picker_language_switch' permettant l'injection de scripts web arbitraires.
Score: 4.4
XSS stocké via le champ de post meta '_inpost_head_script[synth_header_script]' permettant l'injection de scripts web arbitraires.
Score: 6.4
SSRF permettant des requêtes web vers des emplacements arbitraires à partir de l'application web.
Score: 7.2
XSS stocké via le paramètre 'pricing_plan_select_text_font_family' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS réfléchi via le paramètre 'sscf_name' permettant l'injection de scripts web arbitraires.
Score: 7.2
XSS stocké via les paramètres 'latitude' et 'longitudinal' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le paramètre 'filename' permettant l'injection de scripts web arbitraires.
Score: 6.4
Absence de vérification de capacité permettant la déconnexion de la synchronisation MailChimp.
Score: 5.3
Téléchargement de fichiers arbitraires permettant l'exécution de code à distance.
Score: 9.8
Absence de validation de jeton nonce permettant la mise à jour des paramètres du plugin via une requête falsifiée.
Score: 4.3
XSS stocké via le chemin de l'URL permettant l'injection de scripts web arbitraires.
Score: 6.1
XSS réfléchi via le chemin de l'URL permettant l'injection de scripts web arbitraires.
Score: 6.1
XSS réfléchi via le chemin de l'URL permettant l'injection de scripts web arbitraires.
Score: 6.1
XSS stocké via le shortcode 'questionpro' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via l'attribut 'layout' du shortcode 'sb_ravelry_designs' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le paramètre 'width' du shortcode 'show_sphere_image' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via l'attribut 'lang' du shortcode 'upmenu-menu' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le paramètre 'poster' du shortcode 'plyr' permettant l'injection de scripts web arbitraires.
Score: 6.4
XSS stocké via le shortcode 'percent_to_graph' permettant l'injection de scripts web arbitraires.
Score: 6.4
Absence de vérification de capacité permettant la modification des paramètres du site via l'action AJAX 'cbk_save_v1'.
Score: 5.3
XSS stocké via le bloc Gutenberg de modèle 3D permettant l'injection de scripts web arbitraires.
Score: 6.4
Référence d'objet directe non sécurisée permettant la modification d'événements arbitraires via l'ID de l'événement.
Score: 5.4
Inclusion de fichier local via le paramètre 'theme' du shortcode 'flexipsg_carousel' permettant l'exécution de fichiers PHP arbitraires.
Score: 7.5
Accès non autorisé aux données de campagne de dons via l'action AJAX 'rednao_smart_forms_get_campaigns'.
Score: 4.3
Injection SQL via le paramètre 'postid' permettant l'extraction d'informations sensibles de la base de données.
Score: 7.5
Élévation de privilèges via la création de comptes avec des rôles élevés.
Score: 9.8
XSS stocké via le shortcode 'mycred_load_coupon' permettant l'injection de scripts web arbitraires.
Score: 6.4
SSRF permettant des requêtes web vers des emplacements arbitraires à partir de l'application web.
Score: 5.0
Contournement d'autorisation permettant la mise à jour de publications arbitraires via l'API REST.
Score: 4.3
Injection SQL aveugle permettant l'appendage de requêtes SQL aux requêtes existantes.
Score: 4.9
XSS stocké via le journal d'activité permettant l'injection de scripts web arbitraires.
Score: 7.2
XSS stocké via le widget Info Box permettant l'injection de scripts web arbitraires.
Score: 6.4
Référence d'objet directe non sécurisée permettant la suppression ou le renommage de pièces jointes appartenant à d'autres utilisateurs.
Score: 4.3
7°C
couvert