Security

Eine Schwachstelle in etcd ermöglicht es authentifizierten Benutzern, RBAC-Berechtigungsprüfungen zu umgehen und unbefugt auf Daten zuzugreifen oder Leases anzuhängen, indem sie bestimmte Transaktionsoperationen verwenden.

Eine Sicherheitslücke in Valkey ermöglicht es authentifizierten Benutzern, durch speziell gestaltete Lua-Skripte einen Pufferüberlauf zu verursachen, der zur Ausführung von Schadcode führen kann.

Eine Schwachstelle in Valkey ermöglicht es authentifizierten Benutzern mit ausreichenden Rechten, fehlerhafte ACL-Selektoren zu erstellen, die beim Zugriff einen Serverabsturz und Dienstausfall verursachen.

Eine Schwachstelle in der Valkey-Datenbank ermöglicht es angemeldeten Benutzern, den Service durch speziell gestaltete, sehr lange Textmuster zum Absturz zu bringen, was zu einem Denial-of-Service führt.

Eine Schwachstelle in der Valkey-Datenbank ermöglicht es nicht authentifizierten Angreifern, unbegrenzt Speicher zu verbrauchen, indem sie Ausgabepuffer zum Wachsen bringen, bis der Server abstürzt oder kein Speicher mehr verfügbar ist.

Eine Schwachstelle in der Valkey-Datenbank ermöglicht es authentifizierten Benutzern, durch speziell gestaltete Lua-Skripte Speicherfehler auszulösen und möglicherweise beliebigen Code auf dem Server auszuführen.

Ein Fehler in der Lua-Skript-Fehlerbehandlung von Valkey ermöglicht es böswilligen Nutzern, beliebige Daten in Antworten einzuschleusen und dadurch andere Nutzer derselben Verbindung mit manipulierten Daten zu versorgen.

Eine Schwachstelle in Valkey ermöglicht es Angreifern mit Zugang zum Clusterbus-Port, durch ungültige Pakete einen Speicherfehler auszulösen, der den Valkey-Prozess zum Absturz bringen kann.

Eine Schwachstelle in der Valkey-Datenbank ermöglicht es Angreifern mit Netzwerkzugang, den Server durch das Senden spezieller Anfragen zum Absturz zu bringen, da die Software den Netzwerkstatus nach leeren Anfragen nicht korrekt zurücksetzt.

MinIO-Objektspeicher enthält eine Schwachstelle, die es Angreifern ermöglicht, Admin-Funktionen ohne das erforderliche geheime Passwort auszuführen, wenn sie bereits einen Admin-Zugriffsschlüssel besitzen.

MinIO-Speichersoftware enthält eine Schwachstelle in der Browser-API, die es Angreifern ermöglicht, interne Serverdienste anzugreifen oder sensible Konfigurationsdaten auszulesen, indem sie URLs manipulieren.

MinIO-Speichersysteme mit mehreren Benutzern haben eine Sicherheitslücke bei der Verarbeitung von multipart/form-data-Uploads, die alle Multi-User-Installationen betrifft und mittlere Risiken verursacht.

MinIO-Objektspeicher überprüft bei bestimmten Upload-Anfragen die Datenintegrität nicht korrekt, wenn Angreifer falsche Chunk-Größen senden. Dies ermöglicht Man-in-the-Middle-Angriffe zur Manipulation von Daten während der Übertragung.

Eine fehlerhafte Berechtigungsprüfung in MinIO ermöglichte es normalen Benutzern, auf Daten und Funktionen zuzugreifen, für die sie keine Berechtigung haben sollten.

Eine Schwachstelle in MinIO ermöglicht es authentifizierten Benutzern, ihre eigenen Berechtigungen zu erhöhen, indem sie eine API-Funktion zum Erstellen/Aktualisieren von Benutzern missbrauchen, um sich selbst höhere Privilegien zu gewähren.

Ein Sicherheitsfehler in MinIO ermöglicht es normalen Benutzern, Service-Konten für Administrator-Benutzer zu erstellen und deren erweiterte Zugriffsrechte zu übernehmen, was zu einer Rechteausweitung führt.

MinIO-Objektspeicher hat eine Schwachstelle, bei der bösartige HTTP-Clients durch das Offenhalten von Verbindungen endlos neue Go-Routinen erzeugen können, was zu Ressourcenerschöpfung und Denial-of-Service führt.

Eine Schwachstelle in MinIO ermöglicht es Administratoren mit ServerUpdate-Berechtigung, beliebige Dateien vom Server zu lesen, indem sie eine fehlerhafte Update-Anfrage stellen, die den Dateiinhalt in der Fehlermeldung zurückgibt.

MinIO-Objektspeicher ignoriert fälschlicherweise Deny-Regeln für das Umgehen von Governance-Sperren, wenn gleichzeitig Allow-Regeln für alle S3-Aktionen existieren, wodurch Nutzer geschützte Objekte löschen können.

Ein Administrator mit speziellen Berechtigungen kann in MinIO einen Benutzer erstellen, der denselben Namen wie das Root-Konto hat, wodurch der Root-Zugang dauerhaft blockiert wird.

MinIO auf Windows-Systemen filtert Backslash-Zeichen nicht korrekt, wodurch Nutzer mit eingeschränkten Rechten Objekte in beliebigen Buckets platzieren und sogar Admin-Nutzer erstellen können.

Eine Sicherheitslücke in MinIO ermöglicht es Angreifern mit bestimmten Berechtigungen, durch manipulierte Anfragen die Bucket-Namensüberprüfung zu umgehen und Objekte in beliebige Buckets zu schreiben.

MinIO-Cluster geben versehentlich alle Umgebungsvariablen inklusive geheimer Passwörter und Schlüssel über eine interne Schnittstelle preis, wodurch sensible Anmeldedaten kompromittiert werden können.

MinIO-Speichersystem erlaubt Benutzern mit eingeschränkten Zugriffsschlüsseln, ihre eigenen Berechtigungen zu erweitern und auf alle Daten zuzugreifen, da Zugriffsschlüssel standardmäßig Admin-Rechte erben.

MinIO-Objektspeicher prüfte HTTP-Bedingungen vor Berechtigungen, wodurch anonyme Nutzer durch geschickte Anfragen herausfinden konnten, ob Objekte existieren und deren Metadaten wie Änderungsdatum oder Cache-Einstellungen einsehen konnten.

Eine Schwachstelle in MinIO ermöglicht es Benutzern, ihre eigenen Berechtigungen durch Manipulation einer IAM-Import-Datei zu erweitern und dadurch Administratorrechte zu erlangen.

Ein Fehler in MinIO's SFTP-Authentifizierung ermöglicht es Angreifern, sich ohne gültigen SSH-Schlüssel anzumelden, wenn LDAP-Benutzer keine SSH-Schlüssel konfiguriert haben, wodurch unbefugter Zugriff auf Dateien möglich wird.

Eine Schwachstelle in MinIO ermöglicht es Angreifern, beliebige Dateien in Buckets hochzuladen, wenn sie bereits Schreibrechte und Kenntnis des Access-Keys haben, da die Signaturprüfung fehlerhaft ist.

Eine Schwachstelle in MinIO ermöglicht es eingeschränkten Service- und STS-Konten, ihre Berechtigungsbeschränkungen zu umgehen, indem sie neue Service-Konten für sich selbst erstellen und dadurch erweiterte Zugriffsrechte auf Buckets und Objekte erlangen.

Eine Schwachstelle in MinIOs OpenID Connect-Authentifizierung ermöglicht es Angreifern mit Kenntnis des OIDC-Client-Geheimnisses, beliebige Benutzeridentitäten zu fälschen und vollständigen Zugriff auf alle gespeicherten Daten zu erlangen.

MinIO AIStor's Authentifizierungsdienst hat zwei Schwachstellen: Angreifer können gültige Benutzernamen erraten und dann unbegrenzt Passwörter ausprobieren, da es keine Ratenbegrenzung gibt. Dadurch können sie Zugang zu S3-Speichern erlangen.

Eine Schwachstelle in MinIO ermöglicht es authentifizierten Nutzern mit Upload-Berechtigung, gefälschte Verschlüsselungsmetadaten in Objekte einzuschleusen, wodurch diese dauerhaft unlesbar werden und ein gezielter Denial-of-Service-Angriff möglich ist.

MinIO's S3 Select-Funktion hat eine Schwachstelle, bei der speziell präparierte CSV-Dateien ohne Zeilenendezeichen den Server zum Absturz bringen können, indem sie den gesamten Arbeitsspeicher aufbrauchen.

Eine Schwachstelle in MinIO ermöglicht es Angreifern, beliebige Dateien in jeden Bucket zu schreiben, ohne das geheime Passwort zu kennen - nur mit einem gültigen Benutzernamen.

Eine Schwachstelle in MinIO ermöglicht es Angreifern, beliebige Dateien in Buckets hochzuladen, ohne das geheime Passwort zu kennen - nur mit einem gültigen Benutzernamen.

Eine Pfad-Traversal-Schwachstelle in MinIO ermöglicht es Angreifern mit Root-Berechtigung, Dateien außerhalb der konfigurierten Speicherverzeichnisse zu lesen, was zur Offenlegung sensibler Daten wie TLS-Schlüssel oder Systemdateien führen kann.

Eine Schwachstelle in der Sonarr-Software ermöglicht es Angreifern, die Authentifizierung zu umgehen, wenn lokale Adressen von der Anmeldung ausgenommen sind und kein ordnungsgemäß konfigurierter Reverse-Proxy verwendet wird.

Eine Sicherheitslücke in Sonarr Version 4 auf Windows-Systemen ermöglicht es Angreifern ohne Anmeldung, beliebige Dateien zu lesen, einschließlich Konfigurationsdateien mit API-Schlüsseln und Systemdateien.

Ein Logikfehler in der Authentifizierung von Jellyseerr ermöglicht es Angreifern, sich ohne Berechtigung zu registrieren, indem sie ihre eigenen Jellyfin-Server-Details verwenden, auch wenn die Anwendung für Plex konfiguriert ist.

Eine Schwachstelle in Jellyseerr ermöglicht es jedem angemeldeten Benutzer, die vollständigen Einstellungen anderer Nutzer abzurufen, einschließlich privater API-Schlüssel für Pushover, Pushbullet und Telegram-Benachrichtigungen.

Eine Autorisierungslücke in Jellyseerr ermöglicht es angemeldeten Benutzern, Push-Benachrichtigungseinstellungen und Überwachungsdaten anderer Nutzer einzusehen oder zu löschen, indem sie die Benutzer-ID in der URL ändern.

Eine Sicherheitslücke in changedetection.io ermöglicht es nicht autorisierten Nutzern, auf die Verlaufsdaten von Überwachungsaufträgen zuzugreifen, ohne einen API-Schlüssel bereitzustellen.

Eine kritische Schwachstelle in der Website-Überwachungssoftware changedetection.io ermöglicht es Angreifern, beliebige Befehle auf dem Server auszuführen, indem sie schädlichen Code in Benachrichtigungsvorlagen einschleusen.

Eine Schwachstelle in changedetection.io ermöglicht es Angreifern, schädlichen JavaScript-Code über das Eingabefeld für Benachrichtigungs-URLs einzuschleusen, der dann im Browser des Nutzers ausgeführt wird.

Eine Schwachstelle in changedetection.io ermöglicht es Angreifern, lokale Systemdateien über eine spezielle URL-Syntax zu lesen, wenn WebDriver verwendet wird, da die Sicherheitsfilter umgangen werden können.

Eine Sicherheitslücke in changedetection.io ermöglicht es Angreifern, beliebige Dateien vom Server zu lesen, wenn ein Webdriver aktiviert ist und lokale Dateien eigentlich verboten sein sollten.

Eine Schwachstelle in changedetection.io ermöglicht es Angreifern, lokale Dateien auf dem Server zu lesen, indem sie unzureichende Eingabevalidierung bei Datei-URLs ausnutzen.

Eine Sicherheitslücke in changedetection.io ermöglicht Cross-Site-Scripting-Angriffe, da Fehlermeldungen von Website-Überwachungsfiltern nicht ordnungsgemäß bereinigt werden.

Eine Schwachstelle in changedetection.io ermöglicht es Angreifern, schädliche JavaScript-URLs über die API zu speichern, die dann ausgeführt werden, wenn Benutzer auf diese Links klicken.

Eine Schwachstelle in changedetection.io ermöglicht es jedem Nutzer ohne Anmeldung, Anwendungsquellcode über manipulierte URLs zu lesen, wodurch interne Programmlogik preisgegeben wird.