CyberAlerts is shutting down on June 30th, 2025. Thank you for your support!
Threat and Vulnerability Intelligence Database
Example Searches:
CVE
Threat Actors
Countries
Vendors
Severity
Known Exploited
CVE-2025-27363 |
Description:
Nessus Plugin ID 234317 with High Severity
Synopsis
The remote Oracle Linux host is missing a security update.
Description
The remote Oracle Linux 7 host has packages installed that are affected by a vulnerability as referenced in the ELSA-2025-3395 advisory. [2.8-14.0.1.el7_9.1] - Fix CVE-2025-27363 Out-of-bounds Write [Orabug: 37770275][CVE-2025-27363]Tenable has extracted the preceding description block directly from the Oracle Linux security advisory.Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.
Solution
Update the affected freetype, freetype-demos and / or freetype-devel packages.
Read more at https://www.tenable.com/plugins/nessus/234317
CVSS: HIGH (8.1)
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3572 |
Description: SmartRobot from INTUMIT has a Server-Side Request Forgery vulnerability, allowing unauthenticated remote attackers to probe internal network and even access arbitrary local files on the server.
CVSS: HIGH (7.5) EPSS Score: 0.04%
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3546 |
Description: A vulnerability was found in H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 up to V100R014. It has been declared as critical. Affected by this vulnerability is the function FCGI_CheckStringIfContainsSemicolon of the file /api/wizard/getLanguage of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack can only be done within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. In H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 bis V100R014 wurde eine kritische Schwachstelle ausgemacht. Es geht um die Funktion FCGI_CheckStringIfContainsSemicolon der Datei /api/wizard/getLanguage der Komponente HTTP POST Request Handler. Mittels Manipulieren mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Der Angriff kann im lokalen Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3545 |
Description: A vulnerability was found in H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 up to V100R014. It has been classified as critical. Affected is the function FCGI_CheckStringIfContainsSemicolon of the file /api/wizard/setLanguage of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack needs to be approached within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. Es wurde eine kritische Schwachstelle in H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 bis V100R014 ausgemacht. Betroffen hiervon ist die Funktion FCGI_CheckStringIfContainsSemicolon der Datei /api/wizard/setLanguage der Komponente HTTP POST Request Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3542 |
Description: A vulnerability, which was classified as critical, was found in H3C Magic NX15, Magic NX400 and Magic R3010 up to V100R014. This affects the function FCGI_WizardProtoProcess of the file /api/wizard/getsyncpppoecfg of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack needs to be initiated within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. Es wurde eine kritische Schwachstelle in H3C Magic NX15, Magic NX400 and Magic R3010 bis V100R014 gefunden. Hiervon betroffen ist die Funktion FCGI_WizardProtoProcess der Datei /api/wizard/getsyncpppoecfg der Komponente HTTP POST Request Handler. Mit der Manipulation mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Der Angriff kann im lokalen Netzwerk angegangen werden. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3541 |
Description: A vulnerability, which was classified as critical, has been found in H3C Magic NX15, Magic NX30 Pro, Magic NX400 and Magic R3010 up to V100R014. Affected by this issue is the function FCGI_WizardProtoProcess of the file /api/wizard/getSpecs of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack needs to be done within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. Eine kritische Schwachstelle wurde in H3C Magic NX15, Magic NX30 Pro, Magic NX400 and Magic R3010 bis V100R014 entdeckt. Davon betroffen ist die Funktion FCGI_WizardProtoProcess der Datei /api/wizard/getSpecs der Komponente HTTP POST Request Handler. Dank Manipulation mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Der Angriff kann im lokalen Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 14th, 2025 (2 months ago)
|
|
CVE-2025-3540 |
Description: A vulnerability classified as critical was found in H3C Magic NX15, Magic NX30 Pro, Magic NX400 and Magic R3010 up to V100R014. Affected by this vulnerability is the function FCGI_WizardProtoProcess of the file /api/wizard/getCapability of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack can only be initiated within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. In H3C Magic NX15, Magic NX30 Pro, Magic NX400 and Magic R3010 bis V100R014 wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es die Funktion FCGI_WizardProtoProcess der Datei /api/wizard/getCapability der Komponente HTTP POST Request Handler. Dank der Manipulation mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 13th, 2025 (2 months ago)
|
|
CVE-2025-3539 |
Description: A vulnerability classified as critical has been found in H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 up to V100R014. Affected is the function FCGI_CheckStringIfContainsSemicolon of the file /api/wizard/getBasicInfo of the component HTTP POST Request Handler. The manipulation leads to command injection. The attack can only be done within the local network. The exploit has been disclosed to the public and may be used. It is recommended to upgrade the affected component. Es wurde eine kritische Schwachstelle in H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 and Magic BE18000 bis V100R014 entdeckt. Dabei betrifft es die Funktion FCGI_CheckStringIfContainsSemicolon der Datei /api/wizard/getBasicInfo der Komponente HTTP POST Request Handler. Durch Beeinflussen mit unbekannten Daten kann eine command injection-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei im lokalen Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
CVSS: HIGH (8.6) EPSS Score: 1.5%
April 13th, 2025 (2 months ago)
|
|
CVE-2025-3445 |
Description: A Path Traversal "Zip Slip" vulnerability has been identified in mholt/archiver in Go. This vulnerability allows using a crafted ZIP file containing path traversal symlinks to create or overwrite files with the user's privileges or application utilizing the library.
When using the archiver.Unarchive functionality with ZIP files, like this: archiver.Unarchive(zipFile, outputDir), A crafted ZIP file can be extracted in such a way that it writes files to the affected system with the same privileges as the application executing this vulnerable functionality. Consequently, sensitive files may be overwritten, potentially leading to privilege escalation, code execution, and other severe outcomes in some cases.
It's worth noting that a similar vulnerability was found in TAR files (CVE-2024-0406). Although a fix was implemented, it hasn't been officially released, and the affected project has since been deprecated. The successor to mholt/archiver is a new project called mholt/archives, and its initial release (v0.1.0) removes the Unarchive() functionality.
CVSS: HIGH (8.1) EPSS Score: 0.12%
April 13th, 2025 (2 months ago)
|
|
CVE-2025-3538 |
Description: A vulnerability was found in D-Link DI-8100 16.07.26A1. It has been rated as critical. This issue affects the function auth_asp of the file /auth.asp of the component jhttpd. The manipulation of the argument callback leads to stack-based buffer overflow. The attack needs to be approached within the local network. The exploit has been disclosed to the public and may be used. Eine Schwachstelle wurde in D-Link DI-8100 16.07.26A1 ausgemacht. Sie wurde als kritisch eingestuft. Dies betrifft die Funktion auth_asp der Datei /auth.asp der Komponente jhttpd. Durch das Beeinflussen des Arguments callback mit unbekannten Daten kann eine stack-based buffer overflow-Schwachstelle ausgenutzt werden. Der Angriff kann im lokalen Netzwerk passieren. Der Exploit steht zur öffentlichen Verfügung.
CVSS: HIGH (8.7) EPSS Score: 0.03%
April 13th, 2025 (2 months ago)
|