Security

Eine Sicherheitslücke in der File Browser Anwendung ermöglicht es authentifizierten Nutzern, geteilte Links anderer Benutzer ohne Berechtigung zu löschen, da keine Eigentumsvalidierung stattfindet.

Eine kritische Schwachstelle in der Go-Standardbibliothek, die von File Browser verwendet wird, ermöglicht HTTP-Request-Smuggling durch falsche Verarbeitung von Zeilenendezeichen in HTTP-Chunks.

Eine Sicherheitslücke in der File Browser Software ermöglicht es Angreifern, gültige Benutzernamen durch Zeitmessung der Login-Antworten zu ermitteln, da die Authentifizierung bei existierenden Nutzern länger dauert als bei nicht existierenden.

Eine Schwachstelle in File Browser ermöglicht es authentifizierten Benutzern, Zugriffsbeschränkungen zu umgehen, indem sie mehrere Schrägstriche in URLs verwenden, wodurch sie auf verbotene Dateien zugreifen können.

Eine Schwachstelle in der File Browser Software ermöglicht es authentifizierten Benutzern, Passwörter zu ändern, ohne das aktuelle Passwort anzugeben, indem sie Großschreibung in API-Anfragen verwenden. Dies kann zur Kontoübernahme führen, wenn Angreifer gültige Authentifizierungstoken erhalten.

Eine Schwachstelle in File Browser ermöglicht es Angreifern, über öffentliche Freigabe-Links für Verzeichnisse auf alle Geschwisterverzeichnisse und deren Dateien zuzugreifen, anstatt nur auf das freigegebene Verzeichnis.

Eine Schwachstelle in File Browser ermöglicht es Benutzern ohne Download-Berechtigung, Dateien trotzdem über öffentliche Freigabe-Links herunterzuladen, wodurch Zugriffsbeschränkungen umgangen und unbefugter Datenzugriff ermöglicht wird.

Eine Sicherheitslücke in der File Browser Software ermöglicht es authentifizierten Benutzern, beliebige Dateien und Ordner zu löschen, obwohl ihnen die Löschberechtigung explizit verweigert wurde, indem sie einen alternativen TUS-Endpunkt verwenden, der fälschlicherweise nur die Erstellungsberechtig

File Browser mit Proxy-Authentifizierung vertraut blind HTTP-Headern von beliebigen Angreifern, wodurch diese sich als jeder Nutzer inklusive Admin ausgeben können, ohne Passwort oder andere Credentials zu benötigen.

Eine Schwachstelle in File Browser ermöglicht es authentifizierten Nutzern, Administrator-Zugriffsbeschränkungen zu umgehen, indem sie Pfad-Traversal-Sequenzen verwenden, um Dateien in eigentlich gesperrte Verzeichnisse zu kopieren oder zu verschieben.

File Browser erlaubt unautorisierten Besuchern, Administrator-Konten zu erstellen, wenn die Selbstregistrierung aktiviert ist und die Standard-Benutzerberechtigungen Admin-Rechte enthalten, wodurch vollständige Kontrolle über Server und Dateien ermöglicht wird.

Eine Schwachstelle in File Browser ermöglicht es authentifizierten Nutzern, Upload-Hooks beliebig oft auszulösen, indem sie negative Werte im Upload-Length-Header verwenden, wodurch Hooks mit leeren Dateien und beliebigen Dateinamen ausgeführt werden.

Eine Sicherheitslücke in File Browser ermöglicht es nicht authentifizierten Benutzern, sich selbst zu registrieren und dabei Berechtigungen zur Ausführung von Shell-Befehlen zu erben, wodurch sie beliebige Kommandos auf dem Server ausführen können.

File Browser enthält eine Stored Cross-Site Scripting Schwachstelle in der EPUB-Vorschaufunktion, die es Angreifern ermöglicht, schädlichen JavaScript-Code über manipulierte EPUB-Dateien auszuführen und auf Benutzerdaten zuzugreifen.

File Browser enthält eine Stored Cross-Site Scripting Schwachstelle, bei der Administratoren schädlichen JavaScript-Code in Branding-Felder einfügen können, der dann bei allen Besuchern der Webseite ausgeführt wird.

File Browser prüft bei öffentlichen Share-Links nicht erneut die aktuellen Berechtigungen des Erstellers, sodass bereits erstellte Links auch nach dem Entzug der Share- und Download-Rechte durch Administratoren weiterhin für unauthentifizierte Nutzer zugänglich bleiben.

Eine Schwachstelle in der File Browser Software ermöglicht es authentifizierten Benutzern, auf Verzeichnisse zuzugreifen, die sie nicht sollten, weil die Pfadprüfung nur Präfixe vergleicht ohne Verzeichnisgrenzen zu beachten.

Eine Schwachstelle in File Browser ermöglicht es Benutzern ohne Download-Berechtigung, Textdateien über einen alternativen API-Endpunkt zu lesen, obwohl ihnen der Download explizit verboten wurde.

Eine Sicherheitslücke in File Browser ermöglicht es automatisch erstellten Benutzern über Proxy-Authentifizierung, unbeabsichtigt Ausführungsrechte und Systembefehle zu erhalten, obwohl diese Rechte explizit von Administratoren gewährt werden sollten.

Eine kritische Sicherheitslücke in File Browser ermöglicht es Angreifern, beliebige Systembefehle auszuführen, indem sie Sonderzeichen in Benutzername oder Passwort beim Login eingeben, ohne sich authentifizieren zu müssen.

Eine Sicherheitslücke in File Browser ermöglicht es Angreifern, beliebige Systembefehle auszuführen, indem sie schädliche Dateinamen mit Shell-Sonderzeichen erstellen, die dann in Hook-Kommandos ohne Bereinigung eingefügt werden.

Eine Sicherheitslücke in File Browser ermöglicht es Angreifern, über öffentliche Freigabe-URLs auf Dateien und Ordner zuzugreifen, die der Besitzer explizit durch Regeln blockiert hat, solange sich diese unterhalb des freigegebenen Verzeichnisses befinden.

Eine Schwachstelle in File Browser ermöglicht es Benutzern mit geringen Rechten, Freigabe-Links anderer Nutzer (einschließlich Administratoren) zu löschen, indem sie Dateien in ihrem eigenen Verzeichnis entfernen, deren Pfad als Präfix in fremden Link-Pfaden vorkommt.

Eine Sicherheitslücke in File Browser ermöglicht es Benutzern mit Befehlsausführungsrechten, die Kommando-Whitelist zu umgehen und beliebige Systembefehle auszuführen, indem sie Shell-Metazeichen wie Semikolons oder Pipes verwenden.

File Browser invalidiert bestehende JWT-Tokens nicht, wenn ein Administrator das Passwort eines Benutzers zurücksetzt, wodurch Angreifer mit alten Tokens weiterhin auf Ressourcen zugreifen können bis zur natürlichen Token-Ablaufzeit.

File Browser erlaubt es Benutzern, über symbolische Links auf Dateien außerhalb ihres zugewiesenen Bereichs zuzugreifen, obwohl sie eigentlich darauf beschränkt sein sollten. Angreifer können dadurch fremde Dateien lesen, überschreiben oder öffentlich teilen.

Eine Schwachstelle in File Browser ermöglicht es authentifizierten Nutzern, öffentliche Freigaben für noch nicht existierende Dateipfade zu erstellen, die später automatisch gültig werden, sobald eine Datei an diesem Pfad erstellt wird.

Eine Sicherheitslücke in File Browser ermöglicht es Angreifern, schädliche Archive zu erstellen, die beim Entpacken auf Windows-Systemen Dateien außerhalb des vorgesehenen Ordners schreiben können, was zu beliebigen Dateischreibvorgängen führt.

Eine Schwachstelle in Syncthing und seinem Relay-Server ermöglicht es Angreifern, die Software durch speziell manipulierte Nachrichten zum Absturz zu bringen, ohne jedoch sensible Daten zu gefährden.

Eine Schwachstelle in der Syncthing-Software ermöglicht es Angreifern, schädlichen HTML- und JavaScript-Code über Dateinamen oder Gerätenamen in die Web-Oberfläche einzuschleusen, wodurch bei Mausberührung Skripte ausgeführt werden können.

Node-RED Versionen 1.2.7 und früher enthalten eine Schwachstelle, bei der bösartig gestaltete Anfragen an die Admin-API das Verhalten der JavaScript-Laufzeitumgebung beeinträchtigen können.

Eine Schwachstelle in Node-RED ermöglicht es Benutzern mit Projektleserechten, über die Projects API auf beliebige Dateien im System zuzugreifen, wodurch sensible Daten preisgegeben werden können.

Eine Schwachstelle in der Workflow-Automatisierungssoftware n8n ermöglicht es authentifizierten Benutzern, schädliche Skripte in Webseiten einzuschleusen, die dann in den Browsern anderer Nutzer ausgeführt werden und Kontoübernahmen ermöglichen können.

Eine Schwachstelle in der Workflow-Software n8n ermöglicht es angemeldeten Benutzern mit Workflow-Berechtigungen, durch manipulierte Ausdrücke Systembefehle auf dem Server auszuführen.

Eine Sicherheitslücke in der Workflow-Software n8n ermöglicht es angemeldeten Benutzern mit Workflow-Berechtigungen, über den Merge-Knoten beliebigen Code auszuführen und Dateien auf dem Server zu schreiben.

Eine Sicherheitslücke in der Workflow-Software n8n ermöglicht SQL-Injection-Angriffe durch manipulierte Tabellen- oder Spaltennamen in MySQL-, PostgreSQL- und Microsoft SQL-Datenbankknoten, wodurch Angreifer beliebige SQL-Befehle ausführen können.

Eine Schwachstelle in der Workflow-Automatisierungssoftware n8n ermöglicht es Angreifern, Nutzer über gefälschte OAuth-Links auf externe Websites umzuleiten, wenn diese eine Berechtigung ablehnen.

Eine Sicherheitslücke in der Workflow-Software n8n ermöglicht es angemeldeten Benutzern, schädlichen JavaScript-Code über das Custom CSS-Feld einzuschleusen, was zu gespeicherten Cross-Site-Scripting-Angriffen auf öffentlichen Chat-Seiten führt.

Eine Schwachstelle in n8n ermöglicht es authentifizierten Nutzern mit Workflow-Berechtigungen, schädliche Skripte in Form-Trigger-Knoten einzuschleusen, die dann bei jedem Besucher der veröffentlichten Formulare ausgeführt werden und Phishing-Angriffe ermöglichen.

Eine Sicherheitslücke in der Workflow-Software n8n ermöglicht es angemeldeten Benutzern, die Python-Code-Knoten erstellen können, aus der Sandbox auszubrechen und beliebigen Code auf dem Server auszuführen.

Eine kritische Sicherheitslücke in der Workflow-Software n8n ermöglicht es authentifizierten Benutzern, über den GSuiteAdmin-Knoten schädlichen Code auf dem Server auszuführen, indem sie speziell gestaltete Parameter verwenden.

Eine Schwachstelle in der Workflow-Software n8n ermöglicht es authentifizierten Benutzern, schädlichen HTML-Code zu erstellen, der im Browser anderer Nutzer ausgeführt wird und dadurch Zugriff auf Workflows, Anmeldedaten oder Administratorrechte verschaffen kann.

Eine Schwachstelle in n8n's Oracle Database-Knoten ermöglicht SQL-Injection-Angriffe über das Limit-Feld, wenn externe Benutzereingaben ohne Validierung verarbeitet werden, wodurch Angreifer Daten aus der verbundenen Oracle-Datenbank stehlen können.

Eine Schwachstelle in der Workflow-Automatisierungssoftware n8n ermöglicht es authentifizierten Benutzern mit eingeschränkten Rechten, HTTP-Anmeldedaten anderer Nutzer zu stehlen und deren Passwörter im Klartext einzusehen.

Eine Schwachstelle in der n8n Workflow-Software ermöglicht es authentifizierten Nutzern, Variablen aus Projekten zu lesen, zu denen sie keinen Zugang haben sollten, indem sie die Projekt-ID in API-Anfragen manipulieren.

Eine Sicherheitslücke in der Workflow-Software n8n ermöglicht SQL-Injection-Angriffe über die Snowflake- und MySQL v1-Knoten, wenn Benutzereingaben unsicher in Datenbankabfragen eingebaut werden. Angreifer könnten Daten aus verbundenen Datenbanken stehlen, ändern oder löschen.

Eine Schwachstelle in der n8n Workflow-Automatisierungssoftware ermöglicht es Angreifern, ohne Authentifizierung große Datenmengen an einen OAuth-Registrierungsendpunkt zu senden und dadurch den Arbeitsspeicher des Servers zu erschöpfen, was zu einem Ausfall der Anwendung führt.

Eine SQL-Injection-Schwachstelle im SeaTable-Knoten der Workflow-Automatisierungssoftware n8n ermöglicht es Angreifern, durch manipulierte Benutzereingaben unberechtigten Zugriff auf Datenbankzeilen zu erlangen und dabei Sicherheitsfilter zu umgehen.

Eine Schwachstelle in der Workflow-Software n8n ermöglicht es authentifizierten Benutzern, über Git-Operationen auf lokale Dateien außerhalb der konfigurierten Sicherheitsbeschränkungen zuzugreifen und diese zu lesen.

Eine Schwachstelle in der Workflow-Automatisierungssoftware n8n ermöglicht es authentifizierten Benutzern, API-Schlüssel anderer Nutzer zu stehlen, indem sie das System dazu bringen, fremde Anmeldedaten an von Angreifern kontrollierte Server zu senden.