What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-18 04:15:11 | CVE-2023-39332 (lien direct) | Diverses fonctions `Node: FS` permettent de spécifier des chemins sous forme de chaînes ou d'objets` uint8array ».Dans les environnements Node.js, la classe «Buffer» étend la classe `uint8array».Node.js empêche la traversée de chemin à travers les chaînes (voir les objets CVE-2023-30584) et `Buffer` (voir CVE-2023-32004), mais pas via des objets non 'non' '' uint8array`.
Ceci est distinct de CVE-2023-32004 ([Rapport 2038134] (https://hackerone.com/reports/2038134)), qui ne se réfère qu'aux objets `buffer`.Cependant, la vulnérabilité suit le même modèle en utilisant «uint8array» au lieu de «tampon».
Impacts:
Cette vulnérabilité affecte tous les utilisateurs à l'aide du modèle d'autorisation expérimental dans Node.js 20.
Veuillez noter qu'au moment où ce CVE a été émis, le modèle d'autorisation est une caractéristique expérimentale de Node.js.
Various `node:fs` functions allow specifying paths as either strings or `Uint8Array` objects. In Node.js environments, the `Buffer` class extends the `Uint8Array` class. Node.js prevents path traversal through strings (see CVE-2023-30584) and `Buffer` objects (see CVE-2023-32004), but not through non-`Buffer` `Uint8Array` objects. This is distinct from CVE-2023-32004 ([report 2038134](https://hackerone.com/reports/2038134)), which only referred to `Buffer` objects. However, the vulnerability follows the same pattern using `Uint8Array` instead of `Buffer`. Impacts: This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-10-18 04:15:11 | CVE-2023-38545 (lien direct) | Ce défaut fait du débordement de boucles un tampon basé sur un tas dans le proxy SOCKS5
poignée de main.
Lorsque Curl est invité à transmettre le nom d'hôte au proxy Socks5 pour permettre
que pour résoudre l'adresse au lieu de se faire enrouler par la boucle elle-même, le
La longueur maximale que le nom d'hôte peut être est de 255 octets.
Si le nom d'hôte est détecté pour être plus long, Curl passe au nom local
Résolution et transmet à la place l'adresse résolue uniquement.En raison de ce bug,
La variable locale qui signifie "Laissez l'hôte résoudre le nom" pourrait obtenir le
mauvaise valeur lors d'une poignée de main lente de chaussettes5, et contrairement à l'intention,
Copiez le nom d'hôte trop long sur le tampon cible au lieu de copier uniquement le
Adresse résolue là-bas.
Le tampon cible étant un tampon basé sur un tas, et le nom d'hôte provenant du
URL avec laquelle Curl a été invité à fonctionner.
This flaw makes curl overflow a heap based buffer in the SOCKS5 proxy handshake. When curl is asked to pass along the host name to the SOCKS5 proxy to allow that to resolve the address instead of it getting done by curl itself, the maximum length that host name can be is 255 bytes. If the host name is detected to be longer, curl switches to local name resolving and instead passes on the resolved address only. Due to this bug, the local variable that means "let the host resolve the name" could get the wrong value during a slow SOCKS5 handshake, and contrary to the intention, copy the too long host name to the target buffer instead of copying just the resolved address there. The target buffer being a heap based buffer, and the host name coming from the URL that curl has been told to operate with. |
|||
|
2023-10-18 04:15:11 | CVE-2023-38552 (lien direct) | Lorsque la fonction de politique Node.js vérifie l'intégrité d'une ressource par rapport à un manifeste de confiance, l'application peut intercepter l'opération et renvoyer une somme de contrôle forgée à l'implémentation de politique du nœud \\, désactivant ainsi efficacement le contrôle d'intégrité.
Impacts:
Cette vulnérabilité affecte tous les utilisateurs utilisant le mécanisme de politique expérimentale dans toutes les lignes de libération active: 18.x et, 20.x.
Veuillez noter qu'au moment où ce CVE a été émis, le mécanisme de politique est une caractéristique expérimentale de Node.js.
When the Node.js policy feature checks the integrity of a resource against a trusted manifest, the application can intercept the operation and return a forged checksum to the node\'s policy implementation, thus effectively disabling the integrity check. Impacts: This vulnerability affects all users using the experimental policy mechanism in all active release lines: 18.x and, 20.x. Please note that at the time this CVE was issued, the policy mechanism is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-10-18 04:15:11 | CVE-2023-39331 (lien direct) | Une vulnérabilité divulguée précédemment (CVE-2023-30584) a été corrigée insuffisamment dans Commit 205F1E6.La nouvelle vulnérabilité de traversée de chemin survient car l'implémentation ne se protège pas contre les fonctions d'utilité intégrées d'écrasement de l'application avec des implémentations définies par l'utilisateur.
Veuillez noter qu'au moment où ce CVE a été émis, le modèle d'autorisation est une caractéristique expérimentale de Node.js.
A previously disclosed vulnerability (CVE-2023-30584) was patched insufficiently in commit 205f1e6. The new path traversal vulnerability arises because the implementation does not protect itself against the application overwriting built-in utility functions with user-defined implementations. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-10-18 04:15:11 | CVE-2023-38546 (lien direct) | Ce défaut permet à un attaquant d'insérer des cookies à volonté dans un programme de course
en utilisant libcurl, si la série spécifique de conditions est remplie.
Libcurl effectue des transferts.Dans son API, une application crée des "poignées faciles"
Ce sont les poignées individuelles pour les transferts uniques.
libcurl fournit un appel de fonction qui duplique en poignée facile appelée
[curl_easy_duphandle] (https://curl.se/libcurl/c/curl_easy_duphandle.html).
Si un transfert a des cookies activés lorsque la poignée est dupliquée, le
L'état à cookie est également cloné - mais sans cloner le réel
biscuits.Si la poignée source n'a lu aucun cookie à partir d'un fichier spécifique sur
disque, la version clonée de la poignée stockerait plutôt le nom du fichier comme
«Aucun» (en utilisant les quatre lettres ASCII, pas de citations).
Utilisation ultérieure de la poignée clonée qui ne définit pas explicitement une source sur
Chargez des cookies à partir de chargement par inadvertance des cookies à partir d'un fichier nommé
«Aucun» - Si un tel fichier existe et est lisible dans le répertoire actuel du
Programme utilisant libcurl.Et si vous utilisez le format de fichier correct bien sûr.
This flaw allows an attacker to insert cookies at will into a running program using libcurl, if the specific series of conditions are met. libcurl performs transfers. In its API, an application creates "easy handles" that are the individual handles for single transfers. libcurl provides a function call that duplicates en easy handle called [curl_easy_duphandle](https://curl.se/libcurl/c/curl_easy_duphandle.html). If a transfer has cookies enabled when the handle is duplicated, the cookie-enable state is also cloned - but without cloning the actual cookies. If the source handle did not read any cookies from a specific file on disk, the cloned version of the handle would instead store the file name as `none` (using the four ASCII letters, no quotes). Subsequent use of the cloned handle that does not explicitly set a source to load cookies from would then inadvertently load cookies from a file named `none` - if such a file exists and is readable in the current directory of the program using libcurl. And if using the correct file format of course. |
|||
|
2023-10-18 04:15:11 | CVE-2023-35084 (lien direct) | La désérialisation dangereuse de l'entrée de l'utilisateur pourrait conduire à l'exécution des opérations non autorisées dans Ivanti Endpoint Manager 2022 SU3 et toutes les versions précédentes, ce qui pourrait permettre à un attaquant d'exécuter des commandes à distance.
Unsafe Deserialization of User Input could lead to Execution of Unauthorized Operations in Ivanti Endpoint Manager 2022 su3 and all previous versions, which could allow an attacker to execute commands remotely. |
|||
|
2023-10-18 04:15:10 | CVE-2023-35083 (lien direct) | Permet un attaquant authentifié avec un accès au réseau pour lire des fichiers arbitraires sur Endpoint Manager récemment découvert le 2022 SU3 et toutes les versions précédentes conduisant potentiellement à la fuite d'informations sensibles.
Allows an authenticated attacker with network access to read arbitrary files on Endpoint Manager recently discovered on 2022 SU3 and all previous versions potentially leading to the leakage of sensitive information. |
|||
|
2023-10-18 00:15:10 | CVE-2023-5552 (lien direct) | Une vulnérabilité de divulgation de mot de passe dans la fonctionnalité Secure PDF Exchange (SPX) permet aux attaquants avec un accès e-mail complet aux PDF de décryptpar expéditeur & acirc; & euro; & # 65533;.
A password disclosure vulnerability in the Secure PDF eXchange (SPX) feature allows attackers with full email access to decrypt PDFs in Sophos Firewall version 19.5 MR3 (19.5.3) and older, if the password type is set to “Specified by sender�. |
Vulnerability | ||
|
2023-10-18 00:15:10 | CVE-2023-5626 (lien direct) | Le contrefaçon de demande de site transversal (CSRF) dans le référentiel GitHub PKP / OJS avant 3.3.0-16.
Cross-Site Request Forgery (CSRF) in GitHub repository pkp/ojs prior to 3.3.0-16. |
|||
|
2023-10-17 23:15:12 | CVE-2023-41715 (lien direct) | Sonicos post-authentification inapproprié la vulnérabilité de gestion des privilèges dans le tunnel SSL VPN Sonicos permet aux utilisateurs d'élever leurs privilèges à l'intérieur du tunnel.
SonicOS post-authentication Improper Privilege Management vulnerability in the SonicOS SSL VPN Tunnel allows users to elevate their privileges inside the tunnel. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-41711 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile post-authentification Sonicos dans le sonicwall.exp, les points de terminaison URL préfs.exp conduisent à un crash de pare-feu.
SonicOS post-authentication Stack-Based Buffer Overflow Vulnerability in the sonicwall.exp, prefs.exp URL endpoints lead to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-42507 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile existe dans les versions ONSINVIEW2 2.0.1 et plus tôt.Si cette vulnérabilité est exploitée, les informations peuvent être divulguées ou un code arbitraire peut être exécuté en demandant à un utilisateur d'ouvrir un fichier de projet ONSINVIEW2 spécialement conçu.
Stack-based buffer overflow vulnerability exists in OnSinView2 versions 2.0.1 and earlier. If this vulnerability is exploited, information may be disclosed or arbitrary code may be executed by having a user open a specially crafted OnSinView2 project file. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-41712 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile post-authentification Sonicos dans le point de terminaison SSL VPN PlainPrefs.Exp URL conduit à un crash de pare-feu.
SonicOS post-authentication Stack-Based Buffer Overflow Vulnerability in the SSL VPN plainprefs.exp URL endpoint leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-42506 (lien direct) | Une mauvaise restriction des opérations dans les limites d'un problème de tampon de mémoire existe dans les versions 2.0.1 d'OnsinView2 et plus tôt.Si cette vulnérabilité est exploitée, les informations peuvent être divulguées ou un code arbitraire peut être exécuté en demandant à un utilisateur d'ouvrir un fichier de projet ONSINVIEW2 spécialement conçu.
Improper restriction of operations within the bounds of a memory buffer issue exists in OnSinView2 versions 2.0.1 and earlier. If this vulnerability is exploited, information may be disclosed or arbitrary code may be executed by having a user open a specially crafted OnSinView2 project file. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-45811 (lien direct) | Synchrony Deobfuscator est un nettoyant JavaScript & amp;déobfuscateur.Une vulnérabilité de la pollution `__proto__` existe dans les versions avant v2.4.4.Une exploitation réussie pourrait conduire à une exécution arbitraire de code.Une vulnérabilité de pollution `__proto__` existe dans le transformateur« litteralmap »permettant à l'entrée fabriquée de modifier les propriétés du prototype d'objet.Un correctif a été publié dans `Deobfuscator @ 2.4.4`.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau doivent lancer le nœud avec [--disable-proto = delete] [Disable-Proto] ou [--disable-proto = throw] [Disable-Proto]
Synchrony deobfuscator is a javascript cleaner & deobfuscator. A `__proto__` pollution vulnerability exists in versions before v2.4.4. Successful exploitation could lead to arbitrary code execution. A `__proto__` pollution vulnerability exists in the `LiteralMap` transformer allowing crafted input to modify properties in the Object prototype. A fix has been released in `deobfuscator@2.4.4`. Users are advised to upgrade. Users unable to upgrade should launch node with the [--disable-proto=delete][disable-proto] or [--disable-proto=throw][disable-proto] flags |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-41713 (lien direct) | Sonicos Utilisation de la vulnérabilité de mot de passe à code dur dans la fonction de démonstration \\ 'dynhandleBuytoolbar \'.
SonicOS Use of Hard-coded Password vulnerability in the \'dynHandleBuyToolbar\' demo function. |
Vulnerability | ||
|
2023-10-17 23:15:12 | CVE-2023-45810 (lien direct) | OpenFGA est un moteur d'autorisation / autorisation flexible construit pour les développeurs et inspiré de Google Zanzibar.Les versions affectées d'OpenFGA sont vulnérables à une attaque de déni de service.Lorsqu'un certain nombre d'appels «listObjects» sont exécutés, dans certains scénarios, ces appels ne publient pas de ressources même après l'envoi d'une réponse et ont donné un volume d'appel suffisant, le service dans son ensemble est inondé.Ce problème a été résolu dans la version 1.3.4 et la mise à niveau est considérée comme compatible vers l'arrière.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
OpenFGA is a flexible authorization/permission engine built for developers and inspired by Google Zanzibar. Affected versions of OpenFGA are vulnerable to a denial of service attack. When a number of `ListObjects` calls are executed, in some scenarios, those calls are not releasing resources even after a response has been sent, and given a sufficient call volume the service as a whole becomes unresponsive. This issue has been addressed in version 1.3.4 and the upgrade is considered backwards compatible. There are no known workarounds for this vulnerability. |
|||
|
2023-10-17 23:15:11 | CVE-2023-39278 (lien direct) | L'échec de l'affirmation de l'utilisateur post-authentification Sonicos entraîne une vulnérabilité de débordement de tampon basée sur la pile via Main.cgi conduit à un crash de pare-feu.
SonicOS post-authentication user assertion failure leads to Stack-Based Buffer Overflow vulnerability via main.cgi leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:11 | CVE-2023-3042 (lien direct) | Dans DOTCMS, les versions mentionnées, un défaut dans le filtre de normalisation ne dépouille pas les doubles objets (//) des URL, permettant potentiellement les contournements pour XSS et les contrôles d'accès.Un exemple URL affecté est https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp,qui devrait renvoyer une réponse 404 mais n'a pas \\ 't.
La surveillance de la liste de caractères URL non valide par défaut peut être affichéesur le lien github fourni https://github.com/dotcms/core/blob/master/dotcms/src/main/java/com/dotcms/filters/ormalisationfilter.java # l37. & acirc; & nbsp;
Pour atténuer, les utilisateurs peuvent bloquer les URL avec des doubles objets à des pare-feu ou utiliser des variables de configuration DOTCMS.
Plus précisément, ils peuvent utiliser la variable environnementale DOT_URI_NORMALISATION_FORBIDDDEN_STRINGS pour ajouter // à la liste des chaînes non valides.
De plus, la variable DOT_URI_NORMALISATION_FORBIDBDEND_REGEX offre un contrôle plus détaillé, par exemple, pour bloquer //html.* URL.
Correction de la version: 23.06+, LTS 22.03.7+, LTS 23.01.4+
In dotCMS, versions mentioned, a flaw in the NormalizationFilter does not strip double slashes (//) from URLs, potentially enabling bypasses for XSS and access controls. An example affected URL is https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp https://demo.dotcms.com//html/portlet/ext/files/edit_text_inc.jsp , which should return a 404 response but didn\'t. The oversight in the default invalid URL character list can be viewed at the provided GitHub link https://github.com/dotCMS/core/blob/master/dotCMS/src/main/java/com/dotcms/filters/NormalizationFilter.java#L37 . To mitigate, users can block URLs with double slashes at firewalls or utilize dotCMS config variables. Specifically, they can use the DOT_URI_NORMALIZATION_FORBIDDEN_STRINGS environmental variable to add // to the list of invalid strings. Additionally, the DOT_URI_NORMALIZATION_FORBIDDEN_REGEX variable offers more detailed control, for instance, to block //html.* URLs. Fix Version:23.06+, LTS 22.03.7+, LTS 23.01.4+ |
|||
|
2023-10-17 23:15:11 | CVE-2023-39280 (lien direct) | Sonicos P
La vulnérabilité de débordement de tampon basée sur la pile d'authentification OST-Authentication dans les points de terminaison SSOSTATSATS-S.XML, SSOSTATSATS-S.WRI URL conduit à un crash de pare-feu.
SonicOS p ost-authentication Stack-Based Buffer Overflow vulnerability in the ssoStats-s.xml, ssoStats-s.wri URL endpoints leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:11 | CVE-2023-39279 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile post-authentification de Sonicos dans le point de terminaison GetPacketTlayData.json URL conduit à un accident de pare-feu.
SonicOS post-authentication Stack-Based Buffer Overflow vulnerability in the getPacketReplayData.json URL endpoint leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:11 | CVE-2023-36321 (lien direct) | Connected Vehicle Systems Alliance (CoVESA) jusqu'à V2.18.8 WWAS a découvert qu'il contenait un débordement de tampon via le composant /hared/dlt_common.c.
Connected Vehicle Systems Alliance (COVESA) up to v2.18.8 wwas discovered to contain a buffer overflow via the component /shared/dlt_common.c. |
|||
|
2023-10-17 23:15:11 | CVE-2023-39277 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile post-authentification Sonicos dans le sonicflow.csv et les points de terminaison URL de sonicflow.csv et approuvent.
SonicOS post-authentication stack-based buffer overflow vulnerability in the sonicflow.csv and appflowsessions.csv URL endpoints leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 23:15:11 | CVE-2023-39276 (lien direct) | La vulnérabilité de débordement de tampon basée sur la pile post-authentification de Sonicos dans le point de terminaison de l'URL GetBookListlist.json conduit à un crash de pare-feu.
SonicOS post-authentication stack-based buffer overflow vulnerability in the getBookmarkList.json URL endpoint leads to a firewall crash. |
Vulnerability | ||
|
2023-10-17 22:15:17 | CVE-2023-41631 (lien direct) | La surveillance ESST V2.147.1 a été découverte contenant une vulnérabilité d'exécution de code distant (RCE) via la fonction de téléchargement de fichiers.
eSST Monitoring v2.147.1 was discovered to contain a remote code execution (RCE) vulnerability via the file upload function. |
Vulnerability | ||
|
2023-10-17 22:15:17 | CVE-2023-41630 (lien direct) | La surveillance ESST V2.147.1 a été découverte contenant une vulnérabilité d'exécution de code distant (RCE) via le composant GII Code Generator.
eSST Monitoring v2.147.1 was discovered to contain a remote code execution (RCE) vulnerability via the Gii code generator component. |
Vulnerability | ||
|
2023-10-17 22:15:17 | CVE-2023-41629 (lien direct) | Un manque de désinfection d'entrée dans la fonction de téléchargement de fichiers de l'ESST Monitoring v2.147.1 permet aux attaquants d'exécuter une traversée de chemin.
A lack of input sanitizing in the file download feature of eSST Monitoring v2.147.1 allows attackers to execute a path traversal. |
|||
|
2023-10-17 22:15:16 | CVE-2023-22119 (lien direct) | Vulnérabilité dans le produit bancaire universel Oracle Flexcube des applications Oracle Financial Services (composant: infrastructure).Les versions prises en charge affectées sont 12.3, 12.4, 14.0-14.3 et 14.5-14.7.La vulnérabilité difficile à exploiter permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre la banque universelle Oracle Flexcube.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant.Les attaques réussies de cette vulnérabilité peuvent entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles à la banque universelle Oracle Flexcube ainsi qu'à une mise à jour non autorisée, insérer ou supprimer l'accès à certaines des données accessibles à la banque universelle Oracle Flexcube et une capacité non autorisée pour provoquer un partielLe déni de service (DOS partiel) d'Oracle Flexcube Universal Banking.CVSS 3.1 Score de base 5.9 (Confidentialité, intégrité et impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: H / PR: L / UI: R / S: U / C: H / I: L / A: L).
Vulnerability in the Oracle FLEXCUBE Universal Banking product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 12.3, 12.4, 14.0-14.3 and 14.5-14.7. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle FLEXCUBE Universal Banking. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle FLEXCUBE Universal Banking accessible data as well as unauthorized update, insert or delete access to some of Oracle FLEXCUBE Universal Banking accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle FLEXCUBE Universal Banking. CVSS 3.1 Base Score 5.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:L). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22118 (lien direct) | Vulnérabilité dans le produit bancaire universel Oracle Flexcube des applications Oracle Financial Services (composant: infrastructure).Les versions prises en charge affectées sont 12.3, 12.4, 14.0-14.3 et 14.5-14.7.La vulnérabilité facilement exploitable permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre les banques universelles Oracle Flexcube.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans l'Oracle Flexcube Universal Banking, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Les attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, un accès ou de supprimer un accès à certains des données accessibles à la banque universelle Oracle Flexcube ainsi que des données de lecture non autorisées à un sous-ensemble d'Oracle Flexcube Universal Banking Data et une capacité non autorisée pour provoquer unLe déni de service partiel (DOS partiel) d'Oracle Flexcube Universal Banking.CVSS 3.1 Score de base 6.5 (Confidentialité, intégrité et impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: C / C: L / I: L / A: L).
Vulnerability in the Oracle FLEXCUBE Universal Banking product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 12.3, 12.4, 14.0-14.3 and 14.5-14.7. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle FLEXCUBE Universal Banking. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle FLEXCUBE Universal Banking, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle FLEXCUBE Universal Banking accessible data as well as unauthorized read access to a subset of Oracle FLEXCUBE Universal Banking accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle FLEXCUBE Universal Banking. CVSS 3.1 Base Score 6.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22129 (lien direct) | Vulnérabilité dans le produit Oracle Solaris d'Oracle Systems (composant: noyau).La version prise en charge qui est affectée est 11. La vulnérabilité exploitable facilement permet un attaquant privilégié faible avec une connexion à l'infrastructure où Oracle Solaris s'exécute pour compromettre Oracle Solaris.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) d'Oracle Solaris.Remarque: Cette variabilité affecte uniquement les systèmes SPARC.CVSS 3.1 Score de base 5.5 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: L / AC: L / PR: L / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the Oracle Solaris product of Oracle Systems (component: Kernel). The supported version that is affected is 11. Easily exploitable vulnerability allows low privileged attacker with logon to the infrastructure where Oracle Solaris executes to compromise Oracle Solaris. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Oracle Solaris. Note: This vunlerability only affects SPARC Systems. CVSS 3.1 Base Score 5.5 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22115 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (composant: serveur: DML).Les versions prises en charge affectées sont 8.0.33 et antérieures.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: DML). Supported versions that are affected are 8.0.33 and prior. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22117 (lien direct) | Vulnérabilité dans le produit bancaire universel Oracle Flexcube des applications Oracle Financial Services (composant: infrastructure).Les versions prises en charge affectées sont 12.3, 12.4, 14.0-14.3 et 14.5-14.7.La vulnérabilité facilement exploitable permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre les banques universelles Oracle Flexcube.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans l'Oracle Flexcube Universal Banking, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, un accès ou de supprimer un accès à certains des données accessibles en banque universelle Oracle Flexcube ainsi que des données de lecture non autorisées à un sous-ensemble de données accessibles bancaires universelles d'Oracle Flexcube.CVSS 3.1 Score de base 5.4 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: C / C: L / I: L / A: N).
Vulnerability in the Oracle FLEXCUBE Universal Banking product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 12.3, 12.4, 14.0-14.3 and 14.5-14.7. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle FLEXCUBE Universal Banking. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle FLEXCUBE Universal Banking, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle FLEXCUBE Universal Banking accessible data as well as unauthorized read access to a subset of Oracle FLEXCUBE Universal Banking accessible data. CVSS 3.1 Base Score 5.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22127 (lien direct) | Vulnérabilité dans le produit Oracle Outside In Technology d'Oracle Fusion Middleware (Composant: Content Access SDK, Image Export SDK, PDF Export SDK, HTML Export SDK).La version prise en charge affectée est 8.5.6.La vulnérabilité facilement exploitable permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre Oracle en dehors de la technologie.Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour non autorisée, insérer ou supprimer l'accès à certains des données accessibles à l'extérieur en technologie en dehors de(DOS partiel) d'Oracle à l'extérieur en technologie.CVSS 3.1 Score de base 6.3 (Confidentialité, intégrité et impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: L / I: L / A: L).
Vulnerability in the Oracle Outside In Technology product of Oracle Fusion Middleware (component: Content Access SDK, Image Export SDK, PDF Export SDK, HTML Export SDK). The supported version that is affected is 8.5.6. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Outside In Technology. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Outside In Technology accessible data as well as unauthorized read access to a subset of Oracle Outside In Technology accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Outside In Technology. CVSS 3.1 Base Score 6.3 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22122 (lien direct) | Vulnérabilité dans le produit de financement commercial d'Oracle Banking d'Oracle Financial Services Applications (composant: infrastructure).Les versions prises en charge affectées sont 14.5-14.7.La vulnérabilité difficile à exploiter permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre le financement du commerce bancaire Oracle.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant.Les attaques réussies de cette vulnérabilité peuvent entraîner un accès non autorisé à des données critiques ou un accès complet à toutes les données accessibles au financement du commerce du commerce du commerce d'Oracle ainsi que des données non autorisées, insérer ou supprimer l'accès à certaines des données accessibles au financement du commerce du commerce d'OracleLe déni de service (DOS partiel) de l'Oracle Banking Trade Finance.CVSS 3.1 Score de base 5.9 (Confidentialité, intégrité et impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: H / PR: L / UI: R / S: U / C: H / I: L / A: L).
Vulnerability in the Oracle Banking Trade Finance product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 14.5-14.7. Difficult to exploit vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Banking Trade Finance. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Banking Trade Finance accessible data as well as unauthorized update, insert or delete access to some of Oracle Banking Trade Finance accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Oracle Banking Trade Finance. CVSS 3.1 Base Score 5.9 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:L/A:L). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22128 (lien direct) | Vulnérabilité dans le produit Oracle Solaris d'Oracle Systems (composant: Système de fichiers).Les versions prises en charge affectées sont 10 et 11. La vulnérabilité difficile à exploiter permet à l'attaquant non authentifié d'accès au réseau via RQUOTA pour compromettre Oracle Solaris.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant.Des attaques réussies de cette vulnérabilité peuvent entraîner un accès en lecture non autorisé à un sous-ensemble de données accessibles Oracle Solaris.CVSS 3.1 Score de base 3.1 (impacts de confidentialité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: H / PR: N / UI: R / S: U / C: L / I: N / A: N).
Vulnerability in the Oracle Solaris product of Oracle Systems (component: Filesystem). Supported versions that are affected are 10 and 11. Difficult to exploit vulnerability allows unauthenticated attacker with network access via rquota to compromise Oracle Solaris. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Oracle Solaris accessible data. CVSS 3.1 Base Score 3.1 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22130 (lien direct) | Vulnérabilité dans le produit Sun ZFS Storage Appliance des systèmes Oracle (composant: Core).La version prise en charge affectée est de 8,8,60.La vulnérabilité difficile à exploiter permet à un attaquant non authentifié avec un accès au réseau via HTTP pour compromettre l'appareil de stockage Sun ZFS.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) de l'appareil de stockage Sun ZFS.CVSS 3.1 Score de base 5.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: H / PR: N / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the Sun ZFS Storage Appliance product of Oracle Systems (component: Core). The supported version that is affected is 8.8.60. Difficult to exploit vulnerability allows unauthenticated attacker with network access via HTTP to compromise Sun ZFS Storage Appliance. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Sun ZFS Storage Appliance. CVSS 3.1 Base Score 5.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22123 (lien direct) | Vulnérabilité dans le produit de financement commercial d'Oracle Banking d'Oracle Financial Services Applications (composant: infrastructure).Les versions prises en charge affectées sont 14.5-14.7.La vulnérabilité exploitable facilement permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre le financement commercial des banques d'Oracle.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans le financement du commerce des banques d'Oracle, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, une mise à jour ou un accès non autorisées à certaines des données accessibles au financement du commerce du commerce des banques d'Oracle ainsi que des données non autorisées en lecture à un sous-ensemble de données accessibles au financement du commerce du commerce du commerce d'Oracle.CVSS 3.1 Score de base 5.4 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: C / C: L / I: L / A: N).
Vulnerability in the Oracle Banking Trade Finance product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 14.5-14.7. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Banking Trade Finance. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle Banking Trade Finance, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Banking Trade Finance accessible data as well as unauthorized read access to a subset of Oracle Banking Trade Finance accessible data. CVSS 3.1 Base Score 5.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22126 (lien direct) | Vulnérabilité dans le produit de contenu Oracle WebCenter d'Oracle Fusion Middleware (Component: Content Server).La version prise en charge affectée est du 12.2.1.4.0.La vulnérabilité facilement exploitable permet un attaquant non authentifié avec un accès au réseau via HTTP pour compromettre le contenu Oracle WebCenter.Des attaques réussies de cette vulnérabilité peuvent entraîner un accès en lecture non autorisé à un sous-ensemble de données accessibles au contenu Oracle WebCenter.CVSS 3.1 Score de base 5.3 (impacts de confidentialité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N).
Vulnerability in the Oracle WebCenter Content product of Oracle Fusion Middleware (component: Content Server). The supported version that is affected is 12.2.1.4.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle WebCenter Content. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Oracle WebCenter Content accessible data. CVSS 3.1 Base Score 5.3 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22121 (lien direct) | Vulnérabilité dans le produit de financement commercial d'Oracle Banking d'Oracle Financial Services Applications (composant: infrastructure).Les versions prises en charge affectées sont 14.5-14.7.La vulnérabilité exploitable facilement permet à un attaquant non authentifié d'accès au réseau via HTTP pour compromettre le financement du commerce bancaire Oracle.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant.Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, une mise à jour ou un accès non autorisées à certaines des données accessibles au financement du commerce du commerce des banques d'Oracle ainsi que des données non autorisées en lecture à un sous-ensemble de données accessibles au financement du commerce du commerce du commerce d'Oracle.CVSS 3.1 Score de base 5.4 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: U / C: L / I: L / A: N).
Vulnerability in the Oracle Banking Trade Finance product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 14.5-14.7. Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Banking Trade Finance. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Banking Trade Finance accessible data as well as unauthorized read access to a subset of Oracle Banking Trade Finance accessible data. CVSS 3.1 Base Score 5.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22125 (lien direct) | Vulnérabilité dans le produit de financement commercial d'Oracle Banking d'Oracle Financial Services Applications (composant: infrastructure).Les versions prises en charge affectées sont 14.5-14.7.La vulnérabilité exploitable facilement permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre le financement commercial des banques d'Oracle.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans le financement du commerce des banques d'Oracle, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, une mise à jour ou un accès non autorisées à certaines des données accessibles au financement du commerce du commerce des banques d'Oracle ainsi que des données non autorisées en lecture à un sous-ensemble de données accessibles au financement du commerce du commerce du commerce d'Oracle.CVSS 3.1 Score de base 5.4 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: C / C: L / I: L / A: N).
Vulnerability in the Oracle Banking Trade Finance product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 14.5-14.7. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Banking Trade Finance. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle Banking Trade Finance, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Banking Trade Finance accessible data as well as unauthorized read access to a subset of Oracle Banking Trade Finance accessible data. CVSS 3.1 Base Score 5.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:16 | CVE-2023-22124 (lien direct) | Vulnérabilité dans le produit de financement commercial d'Oracle Banking d'Oracle Financial Services Applications (composant: infrastructure).Les versions prises en charge affectées sont 14.5-14.7.La vulnérabilité exploitable facilement permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre le financement commercial des banques d'Oracle.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans le financement du commerce des banques d'Oracle, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, une mise à jour ou un accès non autorisées à certaines des données accessibles au financement du commerce du commerce des banques d'Oracle ainsi que des données non autorisées en lecture à un sous-ensemble de données accessibles au financement du commerce du commerce du commerce d'Oracle.CVSS 3.1 Score de base 5.4 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: C / C: L / I: L / A: N).
Vulnerability in the Oracle Banking Trade Finance product of Oracle Financial Services Applications (component: Infrastructure). Supported versions that are affected are 14.5-14.7. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Banking Trade Finance. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle Banking Trade Finance, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Banking Trade Finance accessible data as well as unauthorized read access to a subset of Oracle Banking Trade Finance accessible data. CVSS 3.1 Base Score 5.4 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22106 (lien direct) | Vulnérabilité dans l'Oracle Enterprise Command Center Framework Produit d'Oracle E-Business Suite (composant: API).Les versions prises en charge qui sont affectées sont ECC: 8, 9 et 10. La vulnérabilité exploitable facilement permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre le cadre du centre de commande Oracle Enterprise.Des attaques réussies de cette vulnérabilité peuvent entraîner un accès non autorisé aux données critiques ou un accès complet à toutes les données accessibles du cadre du centre de commande Oracle Enterprise.CVSS 3.1 Score de base 6.5 (impacts de confidentialité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: U / C: H / I: N / A: N).
Vulnerability in the Oracle Enterprise Command Center Framework product of Oracle E-Business Suite (component: API). Supported versions that are affected are ECC: 8, 9 and 10. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Enterprise Command Center Framework. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Enterprise Command Center Framework accessible data. CVSS 3.1 Base Score 6.5 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22111 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (composant: serveur: UDF).Les versions prises en charge affectées sont 8.0.33 et antérieures.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: UDF). Supported versions that are affected are 8.0.33 and prior. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22103 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (Composant: Server: Optimizer).Les versions prises en charge affectées sont 8.0.34 et antérieures et 8.1.0.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un suspension ou fréquemmentCrash répétable (dos complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: Optimizer). Supported versions that are affected are 8.0.34 and prior and 8.1.0. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22104 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (Composant: InNODB).Les versions prises en charge affectées sont 8.0.32 et antérieures.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: InnoDB). Supported versions that are affected are 8.0.32 and prior. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22109 (lien direct) | Vulnérabilité dans Oracle Business Intelligence Enterprise Edition Produit d'Oracle Analytics (Composant: Analytics Web Tashboards).Les versions prises en charge affectées sont 6.4.0.0.0, 7.0.0.0.0 et 12.2.1.4.0.La vulnérabilité facilement exploitable permet à un attaquant privilégié faible avec un accès au réseau via HTTP pour compromettre Oracle Business Intelligence Enterprise Edition.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant.Des attaques réussies de cette vulnérabilité peuvent entraîner une mise à jour, insérer ou supprimer un accès à certaines données accessibles Oracle Business Intelligence Enterprise Edition ainsi que des données accessibles en lecture non autorisée à un sous-ensemble d'Oracle Business Intelligence Enterprise Edition.CVSS 3.1 Score de base 4.6 (Confidentialité et impacts d'intégrité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: L / UI: R / S: U / C: L / I: L / A: N).
Vulnerability in the Oracle Business Intelligence Enterprise Edition product of Oracle Analytics (component: Analytics Web Dashboards). Supported versions that are affected are 6.4.0.0.0, 7.0.0.0.0 and 12.2.1.4.0. Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Business Intelligence Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Oracle Business Intelligence Enterprise Edition accessible data as well as unauthorized read access to a subset of Oracle Business Intelligence Enterprise Edition accessible data. CVSS 3.1 Base Score 4.6 (Confidentiality and Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22110 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (Composant: Server: Optimizer).Les versions prises en charge affectées sont 8.0.33 et antérieures.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un suspension ou fréquemmentCrash répétable (dos complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: Optimizer). Supported versions that are affected are 8.0.33 and prior. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22113 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (composant: serveur: Sécurité: cryptage).Les versions prises en charge affectées sont 8.0.33 et antérieures.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Les attaques réussies de cette vulnérabilité peuvent entraîner un accès en lecture non autorisé à un sous-ensemble de données accessibles au serveur MySQL.CVSS 3.1 Score de base 2,7 (impacts de confidentialité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: L / I: N / A: N).
Vulnerability in the MySQL Server product of Oracle MySQL (component: Server: Security: Encryption). Supported versions that are affected are 8.0.33 and prior. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized read access to a subset of MySQL Server accessible data. CVSS 3.1 Base Score 2.7 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22114 (lien direct) | Vulnérabilité dans le produit MySQL Server d'Oracle MySQL (Composant: InNODB).Les versions prises en charge affectées sont 8.0.34 et antérieures et 8.1.0.La vulnérabilité facilement exploitable permet à un attaquant privilégié élevé avec un accès au réseau via plusieurs protocoles pour compromettre MySQL Server.Des attaques réussies de cette vulnérabilité peuvent entraîner une capacité non autorisée à provoquer un crash suspendu ou fréquemment reproductible (DOS complet) du serveur MySQL.CVSS 3.1 Score de base 4.9 (impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: N / A: H).
Vulnerability in the MySQL Server product of Oracle MySQL (component: InnoDB). Supported versions that are affected are 8.0.34 and prior and 8.1.0. Easily exploitable vulnerability allows high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H). |
Vulnerability | ||
|
2023-10-17 22:15:15 | CVE-2023-22102 (lien direct) | Vulnérabilité dans le produit MySQL Connecteurs d'Oracle MySQL (composant: connecteur / j).Les versions prises en charge affectées sont 8.1.0 et antérieures.La vulnérabilité difficile à exploiter permet à un attaquant non authentifié avec un accès au réseau via plusieurs protocoles pour compromettre les connecteurs MySQL.Les attaques réussies nécessitent une interaction humaine d'une personne autre que l'attaquant et bien que la vulnérabilité soit dans les connecteurs MySQL, les attaques peuvent avoir un impact significatif sur des produits supplémentaires (changement de portée).Des attaques réussies de cette vulnérabilité peuvent entraîner une prise de contrôle des connecteurs MySQL.CVSS 3.1 Score de base 8.3 (Confidentialité, intégrité et impacts de disponibilité).VECTEUR CVSS: (CVSS: 3.1 / AV: N / AC: H / PR: N / UI: R / S: C / C: H / I: H / A: H).
Vulnerability in the MySQL Connectors product of Oracle MySQL (component: Connector/J). Supported versions that are affected are 8.1.0 and prior. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise MySQL Connectors. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in MySQL Connectors, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of MySQL Connectors. CVSS 3.1 Base Score 8.3 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H). |
Vulnerability |
To see everything:
Our RSS (filtrered)
