What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-27 15:19:38 | CVE-2023-44170 (lien direct) | SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_ping.php.
SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_ping.php. |
Vulnerability | ||
|
2023-09-27 15:19:38 | CVE-2023-44169 (lien direct) | SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_notify.php.
SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_notify.php. |
Vulnerability | ||
|
2023-09-27 15:19:38 | CVE-2023-44172 (lien direct) | SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_weixin.php.
SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_weixin.php. |
Vulnerability | ||
|
2023-09-27 15:19:38 | CVE-2023-44171 (lien direct) | SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_smtp.php.
SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_smtp.php. |
Vulnerability | ||
|
2023-09-27 15:19:37 | CVE-2023-44129 (lien direct) | La vulnérabilité est que l'application Messagerie ("com.android.mms") corrigé par LG transmet les intentions contrôlées par l'attaquant à l'attaquant dans l'activité "com.android.ms.ui.qclipintentreiverActivity".L'attaquant peut abuser de cette fonctionnalité en lançant cette activité, puis en envoyant une diffusion avec l'action "com.lge.message.action.qclip".L'attaquant peut envoyer, par exemple, ses propres données de données / clipdata et définir des indicateurs INTENT.FLAG_GRANT_ *.Une fois que l'attaquant a reçu cette intention dans la méthode "OnActivityResult ()", ils auraient accès à des fournisseurs de contenu arbitraires qui ont le jeu de drapeaux `Android: GrantUruperMmissions =" True "`.
The vulnerability is that the Messaging ("com.android.mms") app patched by LG forwards attacker-controlled intents back to the attacker in the exported "com.android.mms.ui.QClipIntentReceiverActivity" activity. The attacker can abuse this functionality by launching this activity and then sending a broadcast with the "com.lge.message.action.QCLIP" action. The attacker can send, e.g., their own data/clipdata and set Intent.FLAG_GRANT_* flags. After the attacker received that intent in the "onActivityResult()" method, they would have access to arbitrary content providers that have the `android:grantUriPermissions="true"` flag set. |
Vulnerability | ||
|
2023-09-27 15:19:37 | CVE-2023-44128 (lien direct) | La vulnérabilité est de supprimer des fichiers arbitraires dans l'application lginstallService ("com.lge.lginstallServies").L'application contient le service "com.lge.lginstallServices" Com.lge.lginstallServies.installService qui expose une interface AIDL.Toutes ses méthodes "installPackage *" appellent enfin la méthode "installPackageVify ()" qui effectue la validation de signature après la méthode de fichier de suppression.Un attaquant peut contrôler les conditions afin que ce contrôle de sécurité ne soit jamais effectué et qu'un fichier contrôlé par l'attaquant soit supprimé.
he vulnerability is to delete arbitrary files in LGInstallService ("com.lge.lginstallservies") app. The app contains the exported "com.lge.lginstallservies.InstallService" service that exposes an AIDL interface. All its "installPackage*" methods are finally calling the "installPackageVerify()" method that performs signature validation after the delete file method. An attacker can control conditions so this security check is never performed and an attacker-controlled file is deleted. |
Vulnerability | ||
|
2023-09-27 15:19:37 | CVE-2023-44127 (lien direct) | La vulnérabilité est que l'application Gestion des appels ("com.android.server.telecom") patchée par LG lance des intentions implicites qui divulguent des données sensibles à toutes les applications tierces installées sur le même appareil.Ces intentions comprennent des données telles que les coordonnées et les numéros de téléphone.
he vulnerability is that the Call management ("com.android.server.telecom") app patched by LG launches implicit intents that disclose sensitive data to all third-party apps installed on the same device. Those intents include data such as contact details and phone numbers. |
Vulnerability | ||
|
2023-09-27 15:19:36 | CVE-2023-44126 (lien direct) | La vulnérabilité est que l'application Gestion de l'appel ("com.android.server.telecom") corrigé par LG envoie de nombreuses diffusions implicites appartenant à LG qui divulguent des données sensibles à toutes les applications tierces installées sur le même appareil.Ces intentions comprennent des données telles que les états d'appel, les durées, les numéros appelés, les informations de contact, etc.
The vulnerability is that the Call management ("com.android.server.telecom") app patched by LG sends a lot of LG-owned implicit broadcasts that disclose sensitive data to all third-party apps installed on the same device. Those intents include data such as call states, durations, called numbers, contacts info, etc. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44043 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans /settings/index.php de Black Cat CMS 1.4.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de page de page du site Web.
A stored cross-site scripting (XSS) vulnerability in /settings/index.php of Black Cat CMS 1.4.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Website footer parameter. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44122 (lien direct) | La vulnérabilité est au vol de fichiers arbitraires avec un privilège système dans l'application LocksCreenSettings ("com.lge.lockscreensettings") dans le fichier "com / lge / lockscreensettings / dynamicwallpaper / mycategoryguideActivity.java".Le principal problème est que l'application lance des intentions implicites qui peuvent être interceptées par des applications tierces installées sur le même appareil.Ils peuvent également renvoyer des données arbitraires qui seront transmises à la méthode "OnActivityResult ()".L'application LocksCreenSettings copie le fichier reçu sur le chemin "/data/shared/dw/mycategory/wallpaper_01.png", puis modifie le mode d'accès au fichier à la lienable du monde et dans le monde.
The vulnerability is to theft of arbitrary files with system privilege in the LockScreenSettings ("com.lge.lockscreensettings") app in the "com/lge/lockscreensettings/dynamicwallpaper/MyCategoryGuideActivity.java" file. The main problem is that the app launches implicit intents that can be intercepted by third-party apps installed on the same device. They also can return arbitrary data that will be passed to the "onActivityResult()" method. The LockScreenSettings app copies the received file to the "/data/shared/dw/mycategory/wallpaper_01.png" path and then changes the file access mode to world-readable and world-writable. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44044 (lien direct) | Super Store Finder v3.6 et ci-dessous a été découvert pour contenir une vulnérabilité d'injection SQL via le paramètre de recherche à /admin/stores.php.
Super Store Finder v3.6 and below was discovered to contain a SQL injection vulnerability via the Search parameter at /admin/stores.php. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44124 (lien direct) | La vulnérabilité est au vol de fichiers arbitraires avec le privilège système dans l'enregistrement d'écran ("com.lge.gametools.gamerecorder") dans le fichier "com / lge / gametools / gamerecorder / paramètres / profilepreferenceFragment.java".Le principal problème est que l'application lance des intentions implicites qui peuvent être interceptées par des applications tierces installées sur le même appareil.Ils peuvent également renvoyer des données arbitraires qui seront transmises à la méthode "OnActivityResult ()".L'application d'enregistrement d'écran enregistre le contenu des URI arbitraires à la carte SD qui est un stockage lisible par le monde.
The vulnerability is to theft of arbitrary files with system privilege in the Screen recording ("com.lge.gametools.gamerecorder") app in the "com/lge/gametools/gamerecorder/settings/ProfilePreferenceFragment.java" file. The main problem is that the app launches implicit intents that can be intercepted by third-party apps installed on the same device. They also can return arbitrary data that will be passed to the "onActivityResult()" method. The Screen recording app saves contents of arbitrary URIs to SD card which is a world-readable storage. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44042 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans /settings/index.php de Black Cat CMS 1.4.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre d'en-tête du site Web.
A stored cross-site scripting (XSS) vulnerability in /settings/index.php of Black Cat CMS 1.4.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Website header parameter. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44121 (lien direct) | La vulnérabilité est une redirection d'intention dans LG Thinq Service ("com.lge.lms2") dans le fichier "com / lge / lms / thartes / ui / notification / notificationManager.java".Cette vulnérabilité pourrait être exploitée par une application tierce installée sur un appareil LG en envoyant une diffusion avec l'action "com.lge.lms.things.notification.action".De plus, cette vulnérabilité est très dangereuse car LG Thinq Service est une application système (ayant Android: SharedUserrid = "Android.uid.System" Paramètre).La redirection de l'intention de cette application conduit à accéder aux activités arbitraires non exportées de toutes les applications.
The vulnerability is an intent redirection in LG ThinQ Service ("com.lge.lms2") in the "com/lge/lms/things/ui/notification/NotificationManager.java" file. This vulnerability could be exploited by a third-party app installed on an LG device by sending a broadcast with the action "com.lge.lms.things.notification.ACTION". Additionally, this vulnerability is very dangerous because LG ThinQ Service is a system app (having android:sharedUserId="android.uid.system" setting). Intent redirection in this app leads to accessing arbitrary not exported activities of absolutely all apps. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44123 (lien direct) | La vulnérabilité est l'utilisation de l'intente en attente implicite avec l'ensemble d'ensemble.flag_mutable qui mène au vol et / ou (sur-) écrire des fichiers arbitraires avec un privilège système dans l'application Bluetooth ("com.lge.bluetoothsetting").L'application de l'attaquant \\, si elle avait accès aux notifications d'applications, pourrait les intercepter et les rediriger vers son activité, avant de lui donner des autorisations d'accès aux fournisseurs de contenu avec le drapeau `Android: GRANULUPERIPERMISSIONS =" True ".
The vulnerability is the use of implicit PendingIntents with the PendingIntent.FLAG_MUTABLE set that leads to theft and/or (over-)write of arbitrary files with system privilege in the Bluetooth ("com.lge.bluetoothsetting") app. The attacker\'s app, if it had access to app notifications, could intercept them and redirect them to its activity, before making it grant access permissions to content providers with the `android:grantUriPermissions="true"` flag. |
Vulnerability | ||
|
2023-09-27 15:19:35 | CVE-2023-44125 (lien direct) | La vulnérabilité est l'utilisation de l'intente implicite sans l'ensemble en attente.flag_immutable qui mène au vol et / ou (sur-) écrire des fichiers arbitraires avec un privilège système dans l'application de service personnalisé ("com.lge.abba").L'application de l'attaquant \\, si elle avait accès aux notifications d'applications, pourrait les intercepter et les rediriger vers son activité, avant de lui donner des autorisations d'accès aux fournisseurs de contenu avec le drapeau `Android: GRANULUPERIPERMISSIONS =" True ".
The vulnerability is the use of implicit PendingIntents without the PendingIntent.FLAG_IMMUTABLE set that leads to theft and/or (over-)write of arbitrary files with system privilege in the Personalized service ("com.lge.abba") app. The attacker\'s app, if it had access to app notifications, could intercept them and redirect them to its activity, before making it grant access permissions to content providers with the `android:grantUriPermissions="true"` flag. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43828 (lien direct) | Une vulnérabilité de script inter-sites (XSS) dans / panneau / langues / de Subrion V4.2.1 Autoriser les attaquants à exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans \\ 'Title \'.
A Cross-site scripting (XSS) vulnerability in /panel/languages/ of Subrion v4.2.1 allow attackers to execute arbitrary web scripts or HTML via a crafted payload injected into \'Title\' parameter. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43775 (lien direct) | La vulnérabilité du déni de service dans le serveur Web de l'Eaton SMP SG-4260 permet
Attaquant pour potentiellement forcer un redémarrage inattendu de la passerelle SMP
Plateforme d'automatisation, impactant la disponibilité du produit.Dans des situations rares, le problème pourrait provoquer
Le dispositif SMP à redémarrer en mode sans échec ou en mode sans échec.En mode sans échec max, le produit est
Plus vulnérable.
Denial-of-service vulnerability in the web server of the Eaton SMP SG-4260 allows attacker to potentially force an unexpected restart of the SMP Gateway automation platform, impacting the availability of the product. In rare situations, the issue could cause the SMP device to restart in Safe Mode or Max Safe Mode. When in Max Safe Mode, the product is not vulnerable anymore. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43830 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans / panneau / configuration / financier / de Subrion V4.2.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans plusieurs champs: \\ 'Minimum Deposit \', \\ 'Dépôt maximal \' et / ou \\ 'MAXIMUM BLACHE \'.
A Cross-site scripting (XSS) vulnerability in /panel/configuration/financial/ of Subrion v4.2.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into several fields: \'Minimum deposit\', \'Maximum deposit\' and/or \'Maximum balance\'. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43825 (lien direct) | La vulnérabilité de traversée de chemin relatif dans Shihonkanri plus Ver9.0.3 et précédemment permet à un attaquant local d'exécuter un code arbitraire en demandant à un utilisateur légitime d'importer un fichier de sauvegarde spécialement conçu du produit.
Relative path traversal vulnerability in Shihonkanri Plus Ver9.0.3 and earlier allows a local attacker to execute an arbitrary code by having a legitimate user import a specially crafted backup file of the product.. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43614 (lien direct) | La vulnérabilité de script inter-sites dans la page d'édition de données de l'ordre des versions de commerce électronique Welcart 2.7 à 2.8.21 permet à un attaquant non authentifié distant d'injecter un script arbitraire.
Cross-site scripting vulnerability in Order Data Edit page of Welcart e-Commerce versions 2.7 to 2.8.21 allows a remote unauthenticated attacker to inject an arbitrary script. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43856 (lien direct) | Dreamer CMS V4.1.3 a été découvert qu'il contenait une vulnérabilité de lecture de fichiers arbitraires via le composant /admin/tremplateController.java.
Dreamer CMS v4.1.3 was discovered to contain an arbitrary file read vulnerability via the component /admin/TemplateController.java. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43610 (lien direct) | La vulnérabilité de l'injection SQL dans la page de modification des données de l'ordre des versions de commerce électronique Welcart 2.7 à 2.8.21 permet à un utilisateur avec l'éditeur (sans réglage de réglage) ou un privilège plus élevé d'effectuer des opérations de base de données imprévues.
SQL injection vulnerability in Order Data Edit page of Welcart e-Commerce versions 2.7 to 2.8.21 allows a user with editor (without setting authority) or higher privilege to perform unintended database operations. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43857 (lien direct) | Le Dreamer CMS V4.1.3 a été découvert qu'il contenait une vulnérabilité de script inter-site (XSS) stockée via le composant / admin / u / toindex.
Dreamer CMS v4.1.3 was discovered to contain a stored cross-site scripting (XSS) vulnerability via the component /admin/u/toIndex. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43381 (lien direct) | La vulnérabilité de l'injection SQL dans le blog de Tianchoy V.1.8.8 permet à un attaquant distant d'obtenir des informations sensibles via le paramètre ID dans le login.php
SQL Injection vulnerability in Tianchoy Blog v.1.8.8 allows a remote attacker to obtain sensitive information via the id parameter in the login.php |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43646 (lien direct) | Get-Func-Name est un module pour récupérer un nom de fonction en toute sécurité et cohérente dans NodeJS et le navigateur.Les versions avant 2.0.1 sont soumises à une vulnérabilité régulière de déni de service (redos) qui peut conduire à un déni de service lors de l'analyse de l'entrée malveillante.Cette vulnérabilité peut être exploitée lorsqu'il y a un déséquilibre entre parenthèses, ce qui entraîne un retour en arrière excessif et augmente ensuite considérablement la charge du processeur et le temps de traitement.Cette vulnérabilité peut être déclenchée en utilisant l'entrée suivante: \\ '\ t \'. Répéter (54773) + \\ '\ t / function / i \'.Ce problème a été résolu dans Commit `F934B228B`, qui a été inclus dans les versions de 2.0.1.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
get-func-name is a module to retrieve a function\'s name securely and consistently both in NodeJS and the browser. Versions prior to 2.0.1 are subject to a regular expression denial of service (redos) vulnerability which may lead to a denial of service when parsing malicious input. This vulnerability can be exploited when there is an imbalance in parentheses, which results in excessive backtracking and subsequently increases the CPU load and processing time significantly. This vulnerability can be triggered using the following input: \'\t\'.repeat(54773) + \'\t/function/i\'. This issue has been addressed in commit `f934b228b` which has been included in releases from 2.0.1. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43331 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans la fonction utilisateur ADD de Small CRM V3.0 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le champ Nom.
A cross-site scripting (XSS) vulnerability in the Add User function of Small CRM v3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Name field. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43493 (lien direct) | La vulnérabilité de l'injection SQL dans la page de liste des éléments des versions de commerce électronique Welcart 2.7 à 2.8.21 permet à un utilisateur avec un auteur ou un privilège plus élevé d'obtenir des informations sensibles.
SQL injection vulnerability in Item List page of Welcart e-Commerce versions 2.7 to 2.8.21 allows a user with author or higher privilege to obtain sensitive information. |
Vulnerability | ||
|
2023-09-27 15:19:34 | CVE-2023-43484 (lien direct) | La vulnérabilité de script inter-sites dans la page de liste des éléments des versions de commerce électronique Welcart 2.7 à 2.8.21 permet à un attaquant non authentifié distant d'injecter un script arbitraire.
Cross-site scripting vulnerability in Item List page of Welcart e-Commerce versions 2.7 to 2.8.21 allows a remote unauthenticated attacker to inject an arbitrary script. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-42820 (lien direct) | Jumpserver est un hôte de bastion open source.Cette vulnérabilité est due à exposer la graine de nombre aléatoire à l'API, permettant potentiellement que les codes de vérification générés au hasard soient rejoués, ce qui pourrait conduire à la réinitialisation du mot de passe.Si le MFA est activé, les utilisateurs ne sont pas affectés.Les utilisateurs n'utilisant pas l'authentification locale ne sont pas non plus affectés.Il est conseillé aux utilisateurs de passer à la version 2.28.19 ou à 3.6.5.Il n'y a aucune solution de contournement connue ni ce problème.
JumpServer is an open source bastion host. This vulnerability is due to exposing the random number seed to the API, potentially allowing the randomly generated verification codes to be replayed, which could lead to password resets. If MFA is enabled users are not affect. Users not using local authentication are also not affected. Users are advised to upgrade to either version 2.28.19 or to 3.6.5. There are no known workarounds or this issue. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43154 (lien direct) | Dans MacRob7 Macs Framework Content Management System (CMS) 1.1.4F, la comparaison lâche dans la fonction "isValidLogin ()" pendant la tentative de connexion entraîne une vulnérabilité de confusion de type PHP qui conduit à la contournement de l'authentification et à la prise de contrôle du compte administrateur.
In Macrob7 Macs Framework Content Management System (CMS) 1.1.4f, loose comparison in "isValidLogin()" function during login attempt results in PHP type confusion vulnerability that leads to authentication bypass and takeover of the administrator account. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43232 (lien direct) | Une vulnérabilité de script inter-site stockée (XSS) dans la fonction de gestion des colonnes de site Web de Dedebiz v6.2.11 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de titre.
A stored cross-site scripting (XSS) vulnerability in the Website column management function of DedeBIZ v6.2.11 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the title parameter. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43234 (lien direct) | Dedebiz v6.2.11 a été découvert pour contenir plusieurs vulnérabilités d'exécution de code distant (RCE) à /admin/file_manage_control.php via les paramètres de nom de nom de fichier $ et $.
DedeBIZ v6.2.11 was discovered to contain multiple remote code execution (RCE) vulnerabilities at /admin/file_manage_control.php via the $activepath and $filename parameters. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43216 (lien direct) | SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_ip.php.
SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_ip.php. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43222 (lien direct) | SEACMS V12.8 a une vulnérabilité d'écriture de code arbitraire dans le fichier /jxz7g2/admin_ping.php.
SeaCMS v12.8 has an arbitrary code writing vulnerability in the /jxz7g2/admin_ping.php file. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43187 (lien direct) | Une vulnérabilité d'exécution du code distant (RCE) dans le point de terminaison XMLRPC.PHP du logiciel de forum NodeBB Inc NodeBBAvant V1.18.6, permet aux attaquants d'exécuter du code arbitraire via des demandes XML-RPC fabriquées.
A remote code execution (RCE) vulnerability in the xmlrpc.php endpoint of NodeBB Inc NodeBB forum software prior to v1.18.6 allows attackers to execute arbitrary code via crafted XML-RPC requests. |
Vulnerability | ||
|
2023-09-27 15:19:33 | CVE-2023-43263 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans l'éditeur de Froala V.4.1.1 permet aux attaquants d'exécuter du code arbitraire via le composant Markdown.
A Cross-site scripting (XSS) vulnerability in Froala Editor v.4.1.1 allows attackers to execute arbitrary code via the Markdown component. |
Vulnerability | ||
|
2023-09-27 15:19:32 | CVE-2023-42657 (lien direct) | Dans WS_FTP Server version 8.7.0 avant 8.7.4 et
Version 8.8.0 Avant 8.8.2, une vulnérabilité de traversée du répertoire a été découverte. & acirc; & nbsp;Un attaquant pourrait tirer parti de cette vulnérabilité pour effectuer des opérations de fichiers (supprimer, renommer, RMDIR, MKDIR) sur les fichiers et les dossiers en dehors de leur chemin de dossier WS_FTP WS_FTP autorisé. & Acirc; & nbsp;Les attaquants pourraient également échapper au contexte de la structure du fichier du serveur WS_FTP et effectuer le même niveau d'opérations (supprimer, renommer, RMDIR, MKDIR) sur les emplacements des fichiers et des dossiers sur le système d'exploitation sous-jacent.
In WS_FTP Server version 8.7.0 prior to 8.7.4 and version 8.8.0 prior to 8.8.2, a directory traversal vulnerability was discovered. An attacker could leverage this vulnerability to perform file operations (delete, rename, rmdir, mkdir) on files and folders outside of their authorized WS_FTP folder path. Attackers could also escape the context of the WS_FTP Server file structure and perform the same level of operations (delete, rename, rmdir, mkdir) on file and folder locations on the underlying operating system. |
Vulnerability | ||
|
2023-09-27 15:19:31 | CVE-2023-41962 (lien direct) | Vulnérabilité de script de site transversal dans la page de configuration du paiement des cartes de crédit des versions de commerce électronique welcart 2.7 à 2.8.21 permet à un attaquant non authentifié distant d'injecter un script arbitraire dans la page.
Cross-site scripting vulnerability in Credit Card Payment Setup page of Welcart e-Commerce versions 2.7 to 2.8.21 allows a remote unauthenticated attacker to inject an arbitrary script in the page. |
Vulnerability | ||
|
2023-09-27 15:19:30 | CVE-2023-41653 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le sermon Beplus \\ 'e & acirc; & euro; & ldquo;Plugin en ligne sermons | Vulnerability | ||
|
2023-09-27 15:19:30 | CVE-2023-41860 (lien direct) | Unauth.Vulnérabilité des scripts croisés (XSS) dans le plugin TravelMap | Vulnerability | ||
|
2023-09-27 15:19:30 | CVE-2023-41861 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin restreint | Vulnerability | ||
|
2023-09-27 15:19:29 | CVE-2023-41311 (lien direct) | Vulnérabilité du contrôle d'autorisation dans le module audio.Une exploitation réussie de cette vulnérabilité peut entraîner l'activation automatique d'une application.
Permission control vulnerability in the audio module. Successful exploitation of this vulnerability may cause an app to be activated automatically. |
Vulnerability | ||
|
2023-09-27 15:19:29 | CVE-2023-41312 (lien direct) | Vulnérabilité du contrôle d'autorisation dans le module audio.L'exploitation réussie de cette vulnérabilité peut entraîner l'activation automatique de plusieurs applications.
Permission control vulnerability in the audio module. Successful exploitation of this vulnerability may cause several apps to be activated automatically. |
Vulnerability | ||
|
2023-09-27 15:19:29 | CVE-2023-41310 (lien direct) | Vulnérabilité de conservation dans le mécanisme de diffusion collant.Une exploitation réussie de cette vulnérabilité peut entraîner l'exécution continue des applications malveillantes en arrière-plan.
Keep-alive vulnerability in the sticky broadcast mechanism. Successful exploitation of this vulnerability may cause malicious apps to run continuously in the background. |
Vulnerability | ||
|
2023-09-27 15:19:28 | CVE-2023-41241 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le commerce électronique WordPress Surecart pour la création de versions de magasins de magasins en ligne rapides | Vulnerability | ||
|
2023-09-27 15:19:28 | CVE-2023-41307 (lien direct) | Vulnérabilité d'écrasement de la mémoire dans le module de sécurité.Une exploitation réussie de cette vulnérabilité peut affecter la disponibilité.
Memory overwriting vulnerability in the security module. Successful exploitation of this vulnerability may affect availability. |
Vulnerability | ||
|
2023-09-27 15:19:28 | CVE-2023-41308 (lien direct) | Capture d'écran Vulnérabilité dans le module d'entrée.Une exploitation réussie de cette vulnérabilité peut affecter la confidentialité.
Screenshot vulnerability in the input module. Successful exploitation of this vulnerability may affect confidentiality. |
Vulnerability | ||
|
2023-09-27 15:19:28 | CVE-2023-41242 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Hassan Ali Snap Pixel | Vulnerability | ||
|
2023-09-27 15:19:28 | CVE-2023-41309 (lien direct) | Vulnérabilité de contrôle d'autorisation dans le module MediaPlayBackController.Une exploitation réussie de cette vulnérabilité peut affecter la disponibilité.
Permission control vulnerability in the MediaPlaybackController module. Successful exploitation of this vulnerability may affect availability. |
Vulnerability |
To see everything:
Our RSS (filtrered)
