CVE-2023-29492


2023. április 14. 08:18

Novi Survey sérülékenysége
Angol cím: Novi Survey vulnerability

Publikálás dátuma: 2023.04.11.
Utolsó módosítás dátuma: 2023.04.11.

Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Leírás forrása: CWE-502

Elemzés leírás

Eredeti nyelven: Novi Survey before 8.9.43676 allows remote attackers to execute arbitrary code on the server in the context of the service account. This does not provide access to stored survey or response data.

Elemzés leírás forrása: CVE-2023-29492

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.1 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Impact Score: 5.2
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

novisurvey.net

Sérülékeny szoftverek

Novi Survey 8.9.43676 előtti verziók

Legfrissebb sérülékenységek
CVE-2025-48633 – Android Framework Information Disclosure sérülékenysége
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
Tovább a sérülékenységekhez »