Проверяем закрытую уязвимость и получаем четыре новые CVE

Меня попросили продолжить цикл статей про закрытие уязвимостей и про то, как их закрывают (нашу первую статью прочитать можно здесь). В прошлый раз мы выяснили, что даже если производитель рапортует о закрытии уязвимости, то на деле все может быть и не так.

Я зашел на vulners.com и попросил показать все эксплойты с exploit-db.com за последние пару недель. В этот раз в категории «веб» почти все эксплойты были за авторством Ihsan Sencan, но из-за того, что чаще всего они относятся к sql-инъекциям в старых не поддерживаемых приложениях и плагинах, я их убрал. Из оставшихся продуктов в категорию «не заброшен и активно развивается» попал только ProjeQtOr Project Management Tool 7.2.5 с уязвимостью CVE-2018−18 924.
Данная уязвимость удовлетворила все критерии отбора.