What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
CVE.webp 2023-10-10 18:15:12 CVE-2023-36418 (lien direct) Azure RTOS Guix Studio Remote Code Exécution Vulnérabilité
Azure RTOS GUIX Studio Remote Code Execution Vulnerability		 Vulnerability
CVE.webp 2023-10-10 18:15:12 CVE-2023-36438 (lien direct) Vulnérabilité de divulabilité d'informations Windows TCP / IP
Windows TCP/IP Information Disclosure Vulnerability		 Vulnerability
CVE.webp 2023-10-10 18:15:11 CVE-2023-29348 (lien direct) Windows Remote Desktop Gateway (RD Gateway) Informations Divullabilité Vulnérabilité
Windows Remote Desktop Gateway (RD Gateway) Information Disclosure Vulnerability		 Vulnerability
CVE.webp 2023-10-10 18:15:11 CVE-2023-35349 (lien direct) Vulnérabilité d'exécution de code à distance de mise en file d'attente Microsoft
Microsoft Message Queuing Remote Code Execution Vulnerability		 Vulnerability
Google.webp 2023-10-10 17:37:33 GCP-2023-030 (lien direct) Publié: 2023-10-10 Description Vulnerability Uber
securityintelligence.webp 2023-10-10 17:20:00 Cruisant de manière critique de zéro (jour): exploiter le service de streaming du noyau Microsoft
Critically Close to Zero(Day): Exploiting Microsoft Kernel Streaming Service (lien direct)		 > Le mois dernier, Microsoft a corrigé une vulnérabilité dans le serveur de streaming Microsoft Kernel, un composant de noyau Windows utilisé dans la virtualisation et le partage des appareils de caméra.La vulnérabilité, CVE-2023-36802, permet à un attaquant local de dégénérer les privilèges du système.Ce billet de blog détaille mon processus d'exploration d'une nouvelle surface d'attaque dans le noyau Windows, en trouvant un [& # 8230;]
>Last month Microsoft patched a vulnerability in the Microsoft Kernel Streaming Server, a Windows kernel component used in the virtualization and sharing of camera devices. The vulnerability, CVE-2023-36802, allows a local attacker to escalate privileges to SYSTEM. This blog post details my process of exploring a new attack surface in the Windows kernel, finding a […] 		Vulnerability ★★
CVE.webp 2023-10-10 17:15:13 CVE-2023-5495 (lien direct) A vulnerability was found in QDocs Smart School 6.4.1. It has been classified as critical. This affects an unknown part of the file /course/filterRecords/ of the component HTTP POST Request Handler. The manipulation of the argument searchdata[0][title]/searchdata[0][searchfield]/searchdata[0][searchvalue] leads to sql injection. It is possible to initiate the attack remotely. The associated identifier of this vulnerability is VDB-241647. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
A vulnerability was found in QDocs Smart School 6.4.1. It has been classified as critical. This affects an unknown part of the file /course/filterRecords/ of the component HTTP POST Request Handler. The manipulation of the argument searchdata[0][title]/searchdata[0][searchfield]/searchdata[0][searchvalue] leads to sql injection. It is possible to initiate the attack remotely. The associated identifier of this vulnerability is VDB-241647. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 17:15:13 CVE-2023-5496 (lien direct) Une vulnérabilité a été trouvée dans le traducteur POQDEV complémentaire 1.0.11 sur Firefox.Il a été considéré comme problématique.Ce problème affecte un traitement inconnu du gestionnaire de texte de sélection des composants.La manipulation conduit à des scripts croisés.L'attaque peut être initiée à distance.La complexité d'une attaque est plutôt élevée.L'exploitation est connue pour être difficile.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-241649 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Translator PoqDev Add-On 1.0.11 on Firefox. It has been rated as problematic. This issue affects some unknown processing of the component Select Text Handler. The manipulation leads to cross site scripting. The attack may be initiated remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. The identifier VDB-241649 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 17:15:13 CVE-2023-44249 (lien direct) Un contournement d'autorisation via la vulnérabilité de Key et Acirc; & nbsp; [CWE-639] à l'utilisateur dans Fortinet Fortimanager version 7.4.0 et avant 7.2.3 et Fortianalyzer version 7.4.0 et avant 7.2.3 Permet à un attaquant distant avec de faibles privilèges de lire la sensibilisation sensible et avant 7.2.3Informations via des demandes HTTP fabriquées.
An authorization bypass through user-controlled key [CWE-639] vulnerability in Fortinet FortiManager version 7.4.0 and before 7.2.3 and FortiAnalyzer version 7.4.0 and before 7.2.3 allows a remote attacker with low privileges to read sensitive information via crafted HTTP requests.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-41679 (lien direct) Une vulnérabilité de contrôle d'accès inapproprié [CWE-284] dans l'interface de gestion de Fortimanager 7.2.0 à 7.2.2, 7.0.0 à 7.0.7, 6.4.0 à 6.4.11, 6.2 Toutes les versions, 6.0 Toutes les versions peuvent autoriser une télécommande etAttaquant authentifié avec au moins l'autorisation de "gestion de l'appareil" sur son profil et appartenant à un ADOM spécifique pour ajouter et supprimer le script CLI sur d'autres Adoms
An improper access control vulnerability [CWE-284] in FortiManager management interface 7.2.0 through 7.2.2, 7.0.0 through 7.0.7, 6.4.0 through 6.4.11, 6.2 all versions, 6.0 all versions may allow a remote and authenticated attacker with at least "device management" permission on his profile and belonging to a specific ADOM to add and delete CLI script on other ADOMs		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-41841 (lien direct) Une mauvaise vulnérabilité d'autorisation dans Fortinet Fortios 7.0.0 - 7.0.11 et 7.2.0 - 7.2.4 permet à un attaquant appartenant au profil Pro-Admin pour effectuer des actions élevées.
An improper authorization vulnerability in Fortinet FortiOS 7.0.0 - 7.0.11 and 7.2.0 - 7.2.4 allows an attacker belonging to the prof-admin profile to perform elevated actions.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-37939 (lien direct) Une exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée [CWE-200] dans & acirc; & nbsp; Forticlient pour Windows 7.2.0, 7.0 Toutes les versions, 6.4 Toutes les versions, 6.2 Toutes les versions, Linux 7.2.0, 7.0 Toutes les versions, 6.4 Toutes les versions, 6.2, 6.2 Toutes les versions et Mac 7.2.0 à 7.2.1, 7.0 Toutes les versions, 6.4 Toutes les versions, 6.2 Toutes les versions, peuvent autoriser un attaquant authentifié local sans privilèges administratifs pour récupérer la liste des fichiers ou dossiers ou des dossiers ou des dossiersbalayage.
An exposure of sensitive information to an unauthorized actor vulnerability [CWE-200] in FortiClient for Windows 7.2.0, 7.0 all versions, 6.4 all versions, 6.2 all versions, Linux 7.2.0, 7.0 all versions, 6.4 all versions, 6.2 all versions and Mac 7.2.0 through 7.2.1, 7.0 all versions, 6.4 all versions, 6.2 all versions, may allow a local authenticated attacker with no Administrative privileges to retrieve the list of files or folders excluded from malware scanning.		 Malware Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-42788 (lien direct) Une neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS (\\ 'OS Command Injection \') Vulnérabilité [CWE-78] dans Fortimanager & amp;Fortianalyzer version 7.4.0, version 7.2.0 à 7.2.3, version 7.0.0 à 7.0.8, version 6.4.0 à 6.4.12 et version 6.2.0 à 6.2.11Exécuter du code non autorisé via des arguments spécifiquement conçus à une commande CLI
An improper neutralization of special elements used in an os command (\'OS Command Injection\') vulnerability [CWE-78] in FortiManager & FortiAnalyzer version 7.4.0, version 7.2.0 through 7.2.3, version 7.0.0 through 7.0.8, version 6.4.0 through 6.4.12 and version 6.2.0 through 6.2.11 may allow a local attacker with low privileges to execute unauthorized code via specifically crafted arguments to a CLI command		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-41675 (lien direct) Une utilisation après une vulnérabilité gratuite [CWE-416] dans Fortios version 7.2.0 à 7.2.4 et version 7.0.0 à 7.0.10 et Fortiproxy version 7.2.0 à 7.2.2 et version 7.0.0 à 7.0.8 peut autoriserUn attaquant distant non authentifié pour écraser le processus WAD via plusieurs paquets fabriqués atteignant des politiques proxy ou des politiques de pare-feu avec le mode proxy aux côtés de l'inspection des paquets profonds SSL.
A use after free vulnerability [CWE-416] in FortiOS version 7.2.0 through 7.2.4 and version 7.0.0 through 7.0.10 and FortiProxy version 7.2.0 through 7.2.2 and version 7.0.0 through 7.0.8 may allow an unauthenticated remote attacker to crash the WAD process via multiple crafted packets reaching proxy policies or firewall policies with proxy mode alongside SSL deep packet inspection.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-37935 (lien direct) Une utilisation de la méthode de demande de GET avec vulnérabilité des chaînes de requête sensibles dans Fortinet Fortios 7.0.0 - 7.0.12, 7.2.0 - 7.2.5 et 7.4.0 permet à un attaquant d'afficher des mots de passe en texte clair de services distants tels que RDP ou VNC, siL'attaquant est en mesure de lire les demandes GET à ces services.
A use of GET request method with sensitive query strings vulnerability in Fortinet FortiOS 7.0.0 - 7.0.12, 7.2.0 - 7.2.5 and 7.4.0 allows an attacker to view plaintext passwords of remote services such as RDP or VNC, if the attacker is able to read the GET requests to those services.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-36556 (lien direct) Demandes HTTP ou HTTPS fabriquées.
An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.0.5 and below 6.4.7 allows an authenticated attacker to login on other users accounts from the same web domain via crafted HTTP or HTTPs requests.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-42782 (lien direct) Une vérification insuffisante de la vulnérabilité de l'authenticité des données [CWE-345] dans Fortianalyzer version 7.4.0 et inférieure 7.2.3 permet à un attaquant non authentifié distant d'envoyer des messages au serveur syslog de Fortianalyzer via la connaissance d'un numéro de série de périphérique autorisé.
A insufficient verification of data authenticity vulnerability [CWE-345] in FortiAnalyzer version 7.4.0 and below 7.2.3 allows a remote unauthenticated attacker to send messages to the syslog server of FortiAnalyzer via the knoweldge of an authorized device serial number.		 Vulnerability
CVE.webp 2023-10-10 17:15:12 CVE-2023-36637 (lien direct) Une neutralisation incorrecte de l'entrée pendant la vulnérabilité de génération de pages Web [CWE-79] dans Fortimail version 7.2.0 à 7.2.2 et avant 7.0.5 permet à un attaquant authentifié d'injecter des balises HTML dans le calendrier de Fortimail \\ via des champs d'entrée.
An improper neutralization of input during web page generation vulnerability [CWE-79] in FortiMail version 7.2.0 through 7.2.2 and before 7.0.5 allows an authenticated attacker to inject HTML tags in FortiMail\'s calendar via input fields.		 Vulnerability
CVE.webp 2023-10-10 17:15:11 CVE-2023-25604 (lien direct) Une insertion d'informations sensibles dans la vulnérabilité des fichiers journaux dans Fortinet Fortigust 1.0.0 permet à un attaquant local d'accéder aux mots de passe en texte clair dans les journaux de rayon.
An insertion of sensitive information into log file vulnerability in Fortinet FortiGuest 1.0.0 allows a local attacker to access plaintext passwords in the RADIUS logs.		 Vulnerability
CVE.webp 2023-10-10 17:15:11 CVE-2023-25607 (lien direct) Une neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS (\\ 'OS Command Injection \') Vulnérabilité [CWE-78] dans Fortimanager 7.2.0 à 7.2.2, 7.0.0 à 7.0.7, 6.4.0 à6.4.11, 6.2 Toutes les versions, 6.0 Toutes les versions, Fortianalyzer 7.2.0 à 7.2.2, 7.0.0 à 7.0.7, 6.4.0 à 6.4.11, 6.2 Toutes les versions, 6.0 Toutes les versions et Fortiadc & acirc; & nbsp;7.1.0, 7.0.0 à 7.0.3, 6.2 Toutes les versions, 6.1 Toutes les versions, 6.0 Toutes les versions Interface de gestion peuvent autoriser un attaquant authentifié avec au moins des autorisations de lecture sur les paramètres du système pour exécuter des commandes arbitraires sur le shell sous-jacent en raison d'un non-sécurité et acirg; & nbsp; utilisation de la fonction WordExp.
An improper neutralization of special elements used in an OS Command (\'OS Command Injection\') vulnerability [CWE-78 ] in FortiManager 7.2.0 through 7.2.2, 7.0.0 through 7.0.7, 6.4.0 through 6.4.11, 6.2 all versions, 6.0 all versions, FortiAnalyzer 7.2.0 through 7.2.2, 7.0.0 through 7.0.7, 6.4.0 through 6.4.11, 6.2 all versions, 6.0 all versions and FortiADC  7.1.0, 7.0.0 through 7.0.3, 6.2 all versions, 6.1 all versions, 6.0 all versions management interface may allow an authenticated attacker with at least READ permissions on system settings to execute arbitrary commands on the underlying shell due to an unsafe usage of the wordexp function.		 Vulnerability
CVE.webp 2023-10-10 17:15:11 CVE-2023-33301 (lien direct) Une vulnérabilité de contrôle d'accès inapproprié dans Fortinet Fortios 7.2.0 - 7.2.4 et 7.4.0 permet à un attaquant d'accéder à une ressource restreinte d'un hôte non fiable.
An improper access control vulnerability in Fortinet FortiOS 7.2.0 - 7.2.4 and 7.4.0 allows an attacker to access a restricted resource from a non trusted host.		 Vulnerability
The_State_of_Security.webp 2023-10-10 16:30:00 Alerte Vert Threat: Octobre 2023 Patch mardi Analyse
VERT Threat Alert: October 2023 Patch Tuesday Analysis (lien direct)		 Aujourd'hui, les adresses d'alerte VERT de Microsoft \\ sont des mises à jour de sécurité d'octobre 2023 de Microsoft, qui comprend un format de notes de version récemment introduit.Vert travaille activement sur la couverture de ces vulnérabilités et prévoit d'expédier ASPL-1077 le mercredi 11 octobre.CVE CVE-2023-41763 du CVE-2023-41763 dans le cas, bien que cette vulnérabilité soit étiquetée comme un Skype pour l'élévation des privilèges de la vulnérabilité des privilèges, les détails se lisent davantage comme une divulgation d'informations.Selon Microsoft, l'exploitation réussie de cette vulnérabilité «pourrait divulguer des adresses IP ou des numéros de port ou les deux à l'attaquant».Microsoft ...
Today\'s VERT Alert addresses Microsoft\'s October 2023 Security Updates , which includes a recently introduced release notes format. VERT is actively working on coverage for these vulnerabilities and expects to ship ASPL-1077 on Wednesday, October 11th. In-The-Wild & Disclosed CVEs CVE-2023-41763 While this vulnerability is labeled as a Skype for Business Elevation of Privilege Vulnerability, the details read more like an Information Disclosure. According to Microsoft, successful exploitation of this vulnerability “could disclose IP addresses or port numbers or both to the attacker.” Microsoft...		 Vulnerability Threat ★★
CVE.webp 2023-10-10 16:15:10 CVE-2023-44995 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de redirection de connexion WP Doctorce WOOCommerce Vulnerability
CVE.webp 2023-10-10 16:15:10 CVE-2023-5494 (lien direct) Une vulnérabilité a été trouvée dans Pékin Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Plateforme jusqu'en 20230928 et classé comme critique.Ce problème est une fonctionnalité inconnue du fichier /log/download.php.La manipulation du fichier d'argument conduit à l'injection de commande du système d'exploitation.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-241646 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928 and classified as critical. Affected by this issue is some unknown functionality of the file /log/download.php. The manipulation of the argument file leads to os command injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-241646 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 16:15:10 CVE-2023-44996 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Naresh Parmar Post View Vulnerability
CVE.webp 2023-10-10 16:15:10 CVE-2023-5492 (lien direct) Une vulnérabilité, qui a été classée comme critique, a été trouvée dans la plate-forme de gestion intelligente Secure Gateway Baichuo Smart S45F jusqu'en 20230928.La manipulation de l'argument File_upload mène à un téléchargement sans restriction.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-241644.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability, which was classified as critical, was found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928. Affected is an unknown function of the file /sysmanage/licence.php. The manipulation of the argument file_upload leads to unrestricted upload. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-241644. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 16:15:10 CVE-2023-5493 (lien direct) Une vulnérabilité a été trouvée dans Pékin Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Plateforme jusqu'à 20230928 et classé comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier /useratte/web.php.La manipulation de l'argument File_upload mène à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-241645 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability has been found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /useratte/web.php. The manipulation of the argument file_upload leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-241645 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
GoogleSec.webp 2023-10-10 15:39:40 Échelle au-delà ducorp avec les politiques de contrôle d'accès assistées par l'IA
Scaling BeyondCorp with AI-Assisted Access Control Policies (lien direct)		 Ayush Khandelwal, Software Engineer, Michael Torres, Security Engineer, Hemil Patel, Technical Product Expert, Sameer Ladiwala, Software EngineerIn July 2023, four Googlers from the Enterprise Security and Access Security organizations developed a tool that aimed at revolutionizing the way Googlers interact with Access Control Lists - SpeakACL. This tool, awarded the Gold Prize during Google\'s internal Security & AI Hackathon, allows developers to create or modify security policies using simple English instructions rather than having to learn system-specific syntax or complex security principles. This can save security and product teams hours of time and effort, while helping to protect the information of their users by encouraging the reduction of permitted access by adhering to the principle of least privilege.Access Control Policies in BeyondCorpGoogle requires developers and owners of enterprise applications to define their own access control policies, as described in BeyondCorp: The Access Proxy. We have invested in reducing the difficulty of self-service ACL and ACL test creation to encourage these service owners to define least privilege access control policies. However, it is still challenging to concisely transform their intent into the language acceptable to the access control engine. Additional complexity is added by the variety of engines, and corresponding policy definition languages that target different access control domains (i.e. websites, networks, RPC servers).To adequately implement an access control policy, service developers are expected to learn various policy definition languages and their associated syntax, in addition to sufficiently understanding security concepts. As this takes time away from core developer work, it is not the most efficient use of developer time. A solution was required to remove these challenges so developers can focus on building innovative tools and products.Making it WorkWe built a prototype interface for interactively defining and modifying access control policies for the Tool Vulnerability ★★★
InfoSecurityMag.webp 2023-10-10 15:30:00 Flagstar Bank Moveit Breach affecte 800k enregistrements clients
Flagstar Bank MOVEit Breach Affects 800K Customer Records (lien direct)		 L'incident s'est produit entre le 27 et le 31 mai 2023, avant que la vulnérabilité du transfert Moveit ne soit divulguée publiquement
The incident occurred between May 27 and 31 2023, before MOVEit Transfer vulnerability was publicly disclosed		 Vulnerability ★★
CVE.webp 2023-10-10 15:15:11 CVE-2023-5491 (lien direct) Une vulnérabilité, qui a été classée comme critique, a été trouvée dans la plate-forme de gestion intelligente Secure Gateway Baichuo Smart S45F jusqu'à 20230928. Ce problème affecte un traitement inconnu du fichier /sysmanage/updatelib.php.La manipulation de l'argument File_upload mène à un téléchargement sans restriction.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-241643.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability, which was classified as critical, has been found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928. This issue affects some unknown processing of the file /sysmanage/updatelib.php. The manipulation of the argument file_upload leads to unrestricted upload. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-241643. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-5489 (lien direct) Une vulnérabilité classée comme critique a été trouvée dans Pékin Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Plateforme Intelligent jusqu'en 20230928. Cela affecte une partie inconnue du fichier /tool/uploadfile.php.La manipulation de l'argument File_upload mène à un téléchargement sans restriction.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-241641 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability classified as critical has been found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928. This affects an unknown part of the file /Tool/uploadfile.php. The manipulation of the argument file_upload leads to unrestricted upload. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-241641 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-5490 (lien direct) Une vulnérabilité classifiée comme critique a été trouvée dans la plate-forme de gestion intelligente Secure Gateway Baichuo SMARCHUO SMART-MOT-SERVICE SORI-SERVICE jusqu'en 20230928. Cette vulnérabilité affecte le code inconnu du fichier /useratte/userattestation.php.La manipulation de l'argument web_img conduit à un téléchargement sans restriction.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-241642 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability classified as critical was found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928. This vulnerability affects unknown code of the file /useratte/userattestation.php. The manipulation of the argument web_img leads to unrestricted upload. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-241642 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-44476 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Andres Felipe Perea V. Copyrightpro Plugin Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-44471 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de localisation backend de Bernhard Kau Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-44994 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Bainternet Shortcodes UI Vulnerability
CVE.webp 2023-10-10 15:15:10 CVE-2023-44475 (lien direct) La vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Michael Simpson Ajouter le plugin actions et filtres Shortcodes Vulnerability
CVE.webp 2023-10-10 14:15:11 CVE-2023-5488 (lien direct) Une vulnérabilité a été trouvée dans Pékin Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Plateforme jusqu'en 20230928. Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier /sysmanage/updatelib.php.La manipulation de l'argument File_upload mène à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-241640.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230928. It has been rated as critical. Affected by this issue is some unknown functionality of the file /sysmanage/updatelib.php. The manipulation of the argument file_upload leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-241640. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.		 Vulnerability
CVE.webp 2023-10-10 14:15:11 CVE-2023-5499 (lien direct) Vulnérabilité de l'exposition aux informations dans Shenzhen Reachfar V28, dont l'exploitation pourrait permettre à un attaquant distant de récupérer tous les journaux de la semaine \\ stockés dans le répertoire \\ 'log2 \'.Un attaquant pourrait récupérer des informations sensibles telles que les réseaux WiFi rappelés, les messages envoyés, les emplacements des périphériques SOS et les configurations de périphériques.
Information exposure vulnerability in Shenzhen Reachfar v28, the exploitation of which could allow a remote attacker to retrieve all the week\'s logs stored in the \'log2\' directory. An attacker could retrieve sensitive information such as remembered wifi networks, sent messages, SOS device locations and device configurations.		 Vulnerability
CVE.webp 2023-10-10 14:15:10 CVE-2023-44470 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Kvvaradha KV TinyMce Editor Ajouter le plugin de polices Vulnerability
CVE.webp 2023-10-10 14:15:10 CVE-2023-44241 (lien direct) Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de pages de destination Keap Keap Vulnerability
CVE.webp 2023-10-10 13:15:22 CVE-2023-43787 (lien direct) Une vulnérabilité a été trouvée dans libx11 en raison d'un débordement entier dans la fonction xcreateImage ().Ce défaut permet à un utilisateur local de déclencher un débordement entier et d'exécuter du code arbitraire avec des privilèges élevés.
A vulnerability was found in libX11 due to an integer overflow within the XCreateImage() function. This flaw allows a local user to trigger an integer overflow and execute arbitrary code with elevated privileges.		 Vulnerability
CVE.webp 2023-10-10 13:15:22 CVE-2023-43788 (lien direct) Une vulnérabilité a été trouvée dans libxpm en raison d'une condition aux limites dans la fonction XPMCreatExpMimageFrombuffer ().Ce défaut permet à un local de déclencher une erreur de lecture hors limites et de lire le contenu de la mémoire sur le système.
A vulnerability was found in libXpm due to a boundary condition within the XpmCreateXpmImageFromBuffer() function. This flaw allows a local to trigger an out-of-bounds read error and read the contents of memory on the system.		 Vulnerability
CVE.webp 2023-10-10 13:15:22 CVE-2023-5450 (lien direct) Une vérification insuffisante de la vulnérabilité des données existe dans l'installateur client Big-IP Edge sur MacOS qui peut permettre une élévation des privilèges de l'attaquant pendant le processus d'installation. & Acirc; & nbsp; Remarque: les versions logicielles qui ont atteint la fin du support technique (EOTS) ne sont pas évaluées.
An insufficient verification of data vulnerability exists in BIG-IP Edge Client Installer on macOS that may allow an attacker elevation of privileges during the installation process.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.		 Vulnerability
CVE.webp 2023-10-10 13:15:22 CVE-2023-45219 (lien direct) L'exposition de la vulnérabilité des informations sensibles existe dans une commande Big-IP Shell (TMSH) non divulguée qui peut permettre à un attaquant authentifié avec les privilèges de rôle d'administrateur de ressources de visualiser les informations sensibles. & Acirc; & nbsp; & acirc; & nbsp; Remarque: les versions logicielles qui ont atteint la fin du support technique (EOTS) ne sont pas évaluées.
Exposure of Sensitive Information vulnerability exist in an undisclosed BIG-IP TMOS shell (tmsh) command which may allow an authenticated attacker with resource administrator role privileges to view sensitive information.   Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.		 Vulnerability
CVE.webp 2023-10-10 13:15:22 CVE-2023-43786 (lien direct) Une vulnérabilité a été trouvée dans LIBX11 en raison d'une boucle infinie dans la fonction putSubImage ().Ce défaut permet à un utilisateur local de consommer toutes les ressources système disponibles et de provoquer un déni de service.
A vulnerability was found in libX11 due to an infinite loop within the PutSubImage() function. This flaw allows a local user to consume all available system resources and cause a denial of service condition.		 Vulnerability
CVE.webp 2023-10-10 13:15:21 CVE-2023-41373 (lien direct) Une vulnérabilité de traversée de répertoires existe dans l'utilitaire de configuration BIG-IP qui peut permettre à un attaquant authentifié d'exécuter des commandes sur le système BIG-IP.Pour le système Big-IP qui s'exécute en mode Appareil, un exploit réussi peut permettre à l'attaquant de franchir une frontière de sécurité. & Acirc; & nbsp; Remarque: les versions logicielles qui ont atteint la fin du support technique (EOTS) ne sont pas évaluées.
A directory traversal vulnerability exists in the BIG-IP Configuration Utility that may allow an authenticated attacker to execute commands on the BIG-IP system. For BIG-IP system running in Appliance mode, a successful exploit can allow the attacker to cross a security boundary.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.		 Vulnerability
CVE.webp 2023-10-10 13:15:21 CVE-2023-43611 (lien direct) Le programme d'installation client Big-IP Edge sur MacOS ne suit pas les meilleures pratiques pour élever les privilèges pendant le processus d'installation. & Acirc; & nbsp;Cette vulnérabilité est due à une correction incomplète pour CVE-2023-38418. & Acirc; & nbsp; & acirc; & nbsp; Remarque: les versions logicielles qui ont atteint la fin du support technique (EOTS) ne sont pas évaluées
The BIG-IP Edge Client Installer on macOS does not follow best practices for elevating privileges during the installation process.  This vulnerability is due to an incomplete fix for CVE-2023-38418.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated		 Vulnerability
CVE.webp 2023-10-10 13:15:21 CVE-2023-43785 (lien direct) Une vulnérabilité a été trouvée dans libx11 en raison d'une condition aux limites dans la fonction _xkBreadKeysyms ().Ce défaut permet à un utilisateur local de déclencher une erreur de lecture hors limites et de lire le contenu de la mémoire sur le système.
A vulnerability was found in libX11 due to a boundary condition within the _XkbReadKeySyms() function. This flaw allows a local user to trigger an out-of-bounds read error and read the contents of memory on the system.		 Vulnerability
CyberWarzone.webp 2023-10-10 12:20:04 La saga SpeepingPipe: dévoiler la vulnérabilité de Minecraft \\ ciblant les appareils Nintendo et au-delà
The BleedingPipe Saga: Unveiling Minecraft\\'s Vulnerability Targeting Nintendo Devices and Beyond (lien direct)		 Introduction Lorsque vous pensez à Minecraft, les notions qui viennent à l'esprit sont la créativité, les possibilités infinies et peut-être une évasion
Introduction When you think of Minecraft, the notions that come to mind are creativity, endless possibilities, and perhaps an escape		 Vulnerability ★★
CVE.webp 2023-10-10 12:15:09 CVE-2023-44763 (lien direct) CMS CMS V9.2.1 est affecté par la vulnérabilité de téléchargement de fichiers arbitraires via la vignette "Fichier Téléchargement, qui permet des scripts inter-sites (XSS).
Concrete CMS v9.2.1 is affected by Arbitrary File Upload vulnerability via the Thumbnail" file upload, which allows Cross-Site Scripting (XSS).		 Vulnerability
Last update at: 2024-07-14 01:08:17
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter