What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-08-18 14:15:23 | CVE-2023-32107 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans la galerie de photos Galerie de photos de l'équipe par Ays & acirc; & euro; & ldquo;Plugin de galerie d'images réactive | Vulnerability | ||
|
2023-08-18 14:15:22 | CVE-2023-32105 (lien direct) | Unauth.Vulnérabilité des scripts croisés (XSS) réfléchis dans Ollybach Wppizza & acirc; & euro; & ldquo;Un plugin de plugin de restaurant | Vulnerability | ||
|
2023-08-18 14:15:22 | CVE-2023-32103 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin d'éducation TP TP à thème | Vulnerability | ||
|
2023-08-18 14:15:22 | CVE-2023-31218 (lien direct) | La contrefaçon de demande de site transversal (CSRF) conduisant à une vulnérabilité de script inter-site stockée (XSS) dans RealMag777 Wolf & acirc; & euro; & ldquo;WordPress Posts Editor Bulk Editor and Manager Plugin professionnel | Vulnerability | ||
|
2023-08-18 14:15:22 | CVE-2023-32106 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Fahad Mahmood WP Docs Plugin | Vulnerability | ||
|
2023-08-18 14:15:22 | CVE-2023-31232 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de liste des plugins David Artiss | Vulnerability | ||
|
2023-08-18 13:15:09 | CVE-2023-4409 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans NBS & AMP; HappySoftwechat 1.1.6.Ce problème est une fonctionnalité inconnue.La manipulation conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-237512.
A vulnerability, which was classified as critical, has been found in NBS&HappySoftWeChat 1.1.6. Affected by this issue is some unknown functionality. The manipulation leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-237512. |
Vulnerability | ||
|
2023-08-18 13:15:09 | CVE-2023-31228 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans Creative Minds Solutions Com On Demand Recherche et remplacer le plugin | Vulnerability | ||
|
2023-08-18 13:15:09 | CVE-2023-31094 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans la synchronisation du stock de trio Lauri Karisola / WP pour le plugin WooCommerce | Vulnerability | ||
|
2023-08-18 13:15:09 | CVE-2023-4407 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Codecanyon Credit Lite 1.5.4.Cette vulnérabilité est une fonctionnalité inconnue du fichier / portail / reportages / compte_statement du gestionnaire de demande de post de composant.La manipulation de l'argument Date1 / Date2 conduit à l'injection SQL.L'attaque peut être lancée à distance.L'identifiant associé de cette vulnérabilité est VDB-237511.
A vulnerability classified as critical was found in Codecanyon Credit Lite 1.5.4. Affected by this vulnerability is an unknown functionality of the file /portal/reports/account_statement of the component POST Request Handler. The manipulation of the argument date1/date2 leads to sql injection. The attack can be launched remotely. The associated identifier of this vulnerability is VDB-237511. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-40069 (lien direct) | La vulnérabilité d'injection de commande OS dans les routeurs LAN sans fil Elecom permet à un attaquant qui peut accéder au produit pour exécuter une commande de système d'exploitation arbitraire en envoyant une demande spécialement conçue.Les produits et versions affectés sont les suivants: WRC-F1167ACF Toutes les versions, WRC-1750GHBK Toutes les versions, WRC-1167GHBK2 Toutes les versions, WRC-1750GHBK2-I toutes les versions et WRC-1750GHBK-E toutes les versions.
OS command injection vulnerability in ELECOM wireless LAN routers allows an attacker who can access the product to execute an arbitrary OS command by sending a specially crafted request. Affected products and versions are as follows: WRC-F1167ACF all versions, WRC-1750GHBK all versions, WRC-1167GHBK2 all versions, WRC-1750GHBK2-I all versions, and WRC-1750GHBK-E all versions. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-39454 (lien direct) | La vulnérabilité de débordement de tampon dans WRC-X1800GS-B V1.13 et plus tôt, WRC-X1800GSA-B V1.13 et plus tôt, et WRC-X1800GSH-B V1.13 et plus tôt permet à un attaquant non authentifié d'exécuter un code arbitraire.
Buffer overflow vulnerability in WRC-X1800GS-B v1.13 and earlier, WRC-X1800GSA-B v1.13 and earlier, and WRC-X1800GSH-B v1.13 and earlier allows an unauthenticated attacker to execute arbitrary code. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-40072 (lien direct) | Vulnérabilité d'injection de commande OS dans toutes les versions WAB-S600-PS, et WAB-S300 Toutes les versions permettent à un utilisateur authentifié d'exécuter une commande OS arbitraire en envoyant une demande spécialement conçue.
OS command injection vulnerability in WAB-S600-PS all versions, and WAB-S300 all versions allows an authenticated user to execute an arbitrary OS command by sending a specially crafted request. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-39445 (lien direct) | La vulnérabilité des fonctionnalités cachées dans LAN-wh300n / re, toutes les versions fournies par Logitec Corporation permet à un attaquant non authentifié d'exécuter du code arbitraire en envoyant un fichier spécialement conçu à la console de gestion du produit \\.
Hidden functionality vulnerability in LAN-WH300N/RE all versions provided by LOGITEC CORPORATION allows an unauthenticated attacker to execute arbitrary code by sending a specially crafted file to the product\'s certain management console. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-39455 (lien direct) | La vulnérabilité d'injection de commande OS dans les routeurs LAN sans fil Elecom permet à un utilisateur authentifié d'exécuter une commande OS arbitraire en envoyant une demande spécialement conçue.Les produits et versions affectés sont les suivants: WRC-600GHBK-A toutes les versions, WRC-1467GHBK-A toutes les versions, WRC-1900GHBK-A TOUTES les versions, WRC-733FEBK2-A toutes les versions, WRC-F1167ACF2 ToutesS toutes les versions et WRC-1900GHBK-S toutes les versions.
OS command injection vulnerability in ELECOM wireless LAN routers allows an authenticated user to execute an arbitrary OS command by sending a specially crafted request. Affected products and versions are as follows: WRC-600GHBK-A all versions, WRC-1467GHBK-A all versions, WRC-1900GHBK-A all versions, WRC-733FEBK2-A all versions, WRC-F1167ACF2 all versions, WRC-1467GHBK-S all versions, and WRC-1900GHBK-S all versions. |
Vulnerability | ||
|
2023-08-18 10:15:12 | CVE-2023-39944 (lien direct) | Vulnérabilité d'injection de commande OS dans WRC-F1167ACF Toutes les versions et WRC-1750GHBK Toutes les versions permettent à un attaquant qui peut accéder au produit pour exécuter une commande OS arbitraire en envoyant une demande spécialement conçue.
OS command injection vulnerability in WRC-F1167ACF all versions, and WRC-1750GHBK all versions allows an attacker who can access the product to execute an arbitrary OS command by sending a specially crafted request. |
Vulnerability | ||
|
2023-08-18 10:15:11 | CVE-2023-39415 (lien direct) | Vulnérabilité d'authentification incorrecte dans Proself Enterprise / Edition standard VER5.61 et antérieure, Proself Gateway Edition Ver1.62 et antérieure, et Proself Mail Sensitiser l'édition Ver1.07 et plus tôt permettre à un attaquant non authentifié distant de se connecter au contrôle du produit \\Panneau et effectuer une opération involontaire.
Improper authentication vulnerability in Proself Enterprise/Standard Edition Ver5.61 and earlier, Proself Gateway Edition Ver1.62 and earlier, and Proself Mail Sanitize Edition Ver1.07 and earlier allow a remote unauthenticated attacker to log in to the product\'s Control Panel and perform an unintended operation. |
Vulnerability | ||
|
2023-08-18 10:15:11 | CVE-2023-38576 (lien direct) | La vulnérabilité des fonctionnalités cachées dans LAN-wh300n / re, toutes les versions fournies par Logitec Corporation permet à un utilisateur authentifié d'exécuter des commandes de système d'exploitation arbitraires sur une certaine console de gestion.
Hidden functionality vulnerability in LAN-WH300N/RE all versions provided by LOGITEC CORPORATION allows an authenticated user to execute arbitrary OS commands on a certain management console. |
Vulnerability | ||
|
2023-08-18 10:15:10 | CVE-2023-35991 (lien direct) | La vulnérabilité des fonctionnalités cachées dans les routeurs LAN sans fil Logitec permet à un attaquant non authentifié de se connecter à la console de gestion du produit \\ et d'exécuter des commandes de système d'exploitation arbitraires.Les produits et versions affectés sont les suivants: LAN-W300N / DR ALLES VERSIONS, LAN-WH300N / DR ALLES VERSIONS, LAN-W300N / P TOUTESWH300N / DGP Toutes les versions et LAN-wh300andgpe toutes les versions.
Hidden functionality vulnerability in LOGITEC wireless LAN routers allows an unauthenticated attacker to log in to the product\'s certain management console and execute arbitrary OS commands. Affected products and versions are as follows: LAN-W300N/DR all versions, LAN-WH300N/DR all versions, LAN-W300N/P all versions, LAN-WH450N/GP all versions, LAN-WH300AN/DGP all versions, LAN-WH300N/DGP all versions, and LAN-WH300ANDGPE all versions. |
Vulnerability | ||
|
2023-08-18 10:15:09 | CVE-2023-32626 (lien direct) | Vulnérabilité des fonctionnalités cachées dans LAN-W300N / RS Toutes les versions, et LAN-W300N / PR5 Toutes les versions permettent à un attaquant non authentifié de se connecter à la console de gestion du produit \\ et d'exécuter des commandes OS arbitraires.
Hidden functionality vulnerability in LAN-W300N/RS all versions, and LAN-W300N/PR5 all versions allows an unauthenticated attacker to log in to the product\'s certain management console and execute arbitrary OS commands. |
Vulnerability | ||
|
2023-08-18 08:15:08 | CVE-2023-30875 (lien direct) | Auth.(ADMIN +) Vulnérabilité de script inter-site stockée (XSS) Dans tous mes besoins de logo besoin de logo Plugin | Vulnerability | ||
|
2023-08-17 22:15:09 | CVE-2023-28690 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin Marco Steinbrecher WP BrowserUpdate | Vulnerability | ||
|
2023-08-17 21:15:09 | CVE-2023-39973 (lien direct) | Vulnérabilité de contrôle d'accès incorrect dans le composant d'entreprise acymailing pour Joomla.Il permet la suppression non autorisée des pièces jointes des campagnes.
Improper Access Control vulnerability in AcyMailing Enterprise component for Joomla. It allows the unauthorized removal of attachments from campaigns. |
Vulnerability | ||
|
2023-08-17 21:15:09 | CVE-2023-39972 (lien direct) | Vulnérabilité de contrôle d'accès incorrect dans le composant d'entreprise acymailing pour Joomla.Il permet aux utilisateurs non autorisés de créer de nouvelles listes de diffusion.
Improper Access Control vulnerability in AcyMailing Enterprise component for Joomla. It allows unauthorized users to create new mailing lists. |
Vulnerability | ||
|
2023-08-17 21:15:09 | CVE-2023-39970 (lien direct) | Téléchargement sans restriction de fichiers avec une vulnérabilité de type dangereuse dans le composant acymailing pour Joomla.Il permet l'exécution du code distant.
Unrestricted Upload of File with Dangerous Type vulnerability in AcyMailing component for Joomla. It allows remote code execution. |
Vulnerability | ||
|
2023-08-17 21:15:09 | CVE-2023-39971 (lien direct) | Une neutralisation incorrecte des entrées lors de la génération de pages Web Vulnérabilité dans le composant d'entreprise acymail pour Joomla permet XSS.Ce numéro affecte le composant d'entreprise acymailing pour Joomla: 6.7.0-8.6.3.
Improper Neutralization of Input During Web Page Generation vulnerability in AcyMailing Enterprise component for Joomla allows XSS. This issue affects AcyMailing Enterprise component for Joomla: 6.7.0-8.6.3. |
Vulnerability | ||
|
2023-08-17 21:15:09 | CVE-2023-39974 (lien direct) | Exposition de la vulnérabilité des informations sensibles dans les composants d'entreprise acymail pour Joomla.Il permet aux acteurs non autorisés d'obtenir le nombre d'abonnés dans une liste spécifique.
Exposure of Sensitive Information vulnerability in AcyMailing Enterprise component for Joomla. It allows unauthorized actors to get the number of subscribers in a specific list. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-36844 (lien direct) | Une vulnérabilité de modification des variables externes PHP dans J-Web de Juniper Networks Junos OS sur EX Series permet à un attaquant non authentifié et basé sur le réseau de contrôler certaines variables d'environnements importantes.
Utilisation d'une demande fabriquée par un attaquant est en mesure de modifier
Certaines variables d'environnements PHP & acirc; & nbsp; conduisant à une perte partielle d'intégrité, & acirc; & nbsp; ce qui peut permettre le chaînage à d'autres vulnérabilités.
Ce problème affecte Juniper Networks Junos OS sur EX Series:
* Toutes les versions avant 20.4R3-S9;
* 21.2 Versions avant 21.2R3-S6;
* 21.3 versions
avant
21.3R3-S5;
* 21.4 versions
avant
21.4R3-S5;
* 22.1 versions
avant
22.1R3-S4;
* 22.2 Versions
avant
22.2R3-S2;
* 22.3 versions
avant 22.3R3-S1;
* 22.4 versions
avant
22.4R2-S2, 22.4R3.
A PHP External Variable Modification vulnerability in J-Web of Juniper Networks Junos OS on EX Series allows an unauthenticated, network-based attacker to control certain, important environments variables. Utilizing a crafted request an attacker is able to modify certain PHP environments variables leading to partial loss of integrity, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on EX Series: * All versions prior to 20.4R3-S9; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S4; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R3-S1; * 22.4 versions prior to 22.4R2-S2, 22.4R3. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-36847 (lien direct) | Une authentification manquante pour la vulnérabilité des fonctions critiques dans Juniper Networks Junos OS sur EX Series permet à un attaquant non authentifié de réseau de provoquer un impact limité sur l'intégrité du système de fichiers.
Avec une demande spécifique qui ne nécessite pas d'authentification, un attaquant est en mesure de télécharger des fichiers arbitraires via J-Web, conduisant à une perte de
intégrité
pour un certain
Une partie du système de fichiers, qui peut permettre le chaînage d'autres vulnérabilités.
Ce problème affecte Juniper Networks Junos OS sur EX Series:
* Toutes les versions avant 20.4R3-S8;
* 21.2 Versions avant 21.2R3-S6;
* 21.3 versions
avant
21.3R3-S5;
* 21.4 versions
avant
21.4R3-S4;
* 22.1 versions
avant
22.1R3-S3;
* 22.2 Versions
avant
22.2R3-S1;
* 22.3 versions
avant
22.3R2-S2, 22.3R3;
* 22.4 versions
avant
22.4R2-S1, 22.4R3.
A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on EX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request that doesn\'t require authentication an attacker is able to upload arbitrary files via J-Web, leading to a loss of integrity for a certain part of the file system, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on EX Series: * All versions prior to 20.4R3-S8; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S4; * 22.1 versions prior to 22.1R3-S3; * 22.2 versions prior to 22.2R3-S1; * 22.3 versions prior to 22.3R2-S2, 22.3R3; * 22.4 versions prior to 22.4R2-S1, 22.4R3. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-36846 (lien direct) | Une authentification manquante pour la vulnérabilité des fonctions critiques dans les réseaux Juniper Junos OS sur la série SRX permet à un attaquant non authentifié et basé sur le réseau d'avoir un impact limité à l'intégrité du système de fichiers.
Avec une demande spécifique qui ne nécessite pas d'authentification, un attaquant est en mesure de télécharger des fichiers arbitraires via J-Web, conduisant à une perte de
intégrité
pour un certain & acirc; & nbsp;
Une partie du système de fichiers & acirc; & nbsp; qui peut permettre le choutage à d'autres vulnérabilités.
Ce problème affecte Juniper Networks Junos OS sur la série SRX:
* Toutes les versions avant 20.4R3-S8;
* 21.2 Versions avant 21.2R3-S6;
* 21.3 versions
avant
21.3R3-S5;
* 21.4 versions
avant
21.4R3-S5;
* 22.1 versions
avant
22.1R3-S3;
* 22.2 Versions
avant
22.2R3-S2;
* 22.3 versions
avant
22.3R2-S2, 22.3R3;
* 22.4 versions
avant
22.4R2-S1, 22.4R3.
A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request that doesn\'t require authentication an attacker is able to upload arbitrary files via J-Web, leading to a loss of integrity for a certain part of the file system, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on SRX Series: * All versions prior to 20.4R3-S8; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S3; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3; * 22.4 versions prior to 22.4R2-S1, 22.4R3. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-36845 (lien direct) | Une vulnérabilité de modification des variables externes PHP dans J-Web de Juniper Networks Junos OS sur EX Series
et la série SRX
Permet à un attaquant non authentifié et basé sur le réseau de contrôler certaines variables d'environnements importantes.
Utilisation d'une demande fabriquée par un attaquant est en mesure de modifier une certaine variable d'environnement PHP conduisant à une perte partielle d'intégrité, ce qui peut permettre le choutier à d'autres vulnérabilités.
Ce problème affecte Juniper Networks Junos OS sur la série SRX:
* Toutes les versions avant 21.4R3-S5;
* 22.1 versions
avant
22.1R3-S4;
* 22.2 Versions
avant
22.2R3-S2;
* 22.3 versions
avant
22.3R2-S2, 22.3R3-S1;
* 22.4 versions
avant
22.4R2-S1, 22.4R3;
* 23.2 Versions avant 23.2R1-S1, 23.2R2.
A PHP External Variable Modification vulnerability in J-Web of Juniper Networks Junos OS on EX Series and SRX Series allows an unauthenticated, network-based attacker to control certain, important environments variables. Utilizing a crafted request an attacker is able to modify a certain PHP environment variable leading to partial loss of integrity, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on SRX Series: * All versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S4; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; * 22.4 versions prior to 22.4R2-S1, 22.4R3; * 23.2 versions prior to 23.2R1-S1, 23.2R2. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-36106 (lien direct) | Une vulnérabilité de contrôle d'accès incorrect dans PowerJob 4.3.2 et antérieure permet aux attaquants distants d'obtenir des informations sensibles via l'interface pour interroger via le paramètre appid vers / conteneur / liste.
An incorrect access control vulnerability in powerjob 4.3.2 and earlier allows remote attackers to obtain sensitive information via the interface for querying via appId parameter to /container/list. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-31944 (lien direct) | La vulnérabilité de l'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre EMP_ID à employee_edit.php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the emp_id parameter at employee_edit.php. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-31946 (lien direct) | La vulnérabilité de téléchargement de fichiers trouvées dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via un fichier PHP fabriqué sur Artics.php.
File Upload vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via a crafted PHP file to the artical.php. |
Vulnerability | ||
|
2023-08-17 20:15:10 | CVE-2023-31945 (lien direct) | La vulnérabilité d'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre ID à Daily_Expenditure_Edit.Php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the id parameter at daily_expenditure_edit.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31940 (lien direct) | La vulnérabilité de l'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre Page_ID à l'article_edit.php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the page_id parameter at article_edit.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31942 (lien direct) | La vulnérabilité de script de site croisé trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre description dans insert.php.
Cross Site Scripting vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the description parameter in insert.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31939 (lien direct) | La vulnérabilité de l'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre Costomer_ID sur client_edit.php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the costomer_id parameter at customer_edit.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31941 (lien direct) | La vulnérabilité de téléchargement de fichiers trouvées dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via un fichier PHP fabriqué à l'employee_insert.php.
File Upload vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via a crafted PHP file to the employee_insert.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31938 (lien direct) | La vulnérabilité d'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre EMP_ID à Employee_Detail.php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the emp_id parameter at employee_detail.php. |
Vulnerability | ||
|
2023-08-17 20:15:09 | CVE-2023-31943 (lien direct) | La vulnérabilité de l'injection SQL trouvée dans le système d'agence de voyage en ligne V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre Ticket_ID à Ticket_Detail.php.
SQL injection vulnerability found in Online Travel Agency System v.1.0 allows a remote attacker to execute arbitrary code via the ticket_id parameter at ticket_detail.php. |
Vulnerability | ||
|
2023-08-17 19:15:12 | CVE-2023-38905 (lien direct) | La vulnérabilité de l'injection SQL dans Jeecg-boot V.3.5.0 et avant permet à un attaquant local de provoquer un déni de service via la référence, pg_sleep, dbms_lock.sleep, waitfor, décode et dbms_pipe.receive_message.
SQL injection vulnerability in Jeecg-boot v.3.5.0 and before allows a local attacker to cause a denial of service via the Benchmark, PG_Sleep, DBMS_Lock.Sleep, Waitfor, DECODE, and DBMS_PIPE.RECEIVE_MESSAGE functions. |
Vulnerability | ||
|
2023-08-17 19:15:12 | CVE-2023-39741 (lien direct) | LRZIP V0.651 a été découvert qu'il contenait un débordement de tas via la fonction libzpaq :: postprocessor :: write (int) à /libzpaq/libzpaq.cpp.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via un fichier fabriqué.
lrzip v0.651 was discovered to contain a heap overflow via the libzpaq::PostProcessor::write(int) function at /libzpaq/libzpaq.cpp. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted file. |
Vulnerability | ||
|
2023-08-17 18:15:17 | CVE-2023-40165 (lien direct) | Rubygems.org est le service d'hébergement de Gem (Library) de Ruby Community \\.La validation des entrées insuffisante a permis aux acteurs malveillants de remplacer toute version de gemm téléchargée qui avait une plate-forme, un numéro de version ou un nom de gemm correspondant `/ - \ d /`, en remplaçant définitivement le téléchargement légitime dans le seau de stockage canonique et en déclenchant une purge CDN immédiatede sorte que le joyau malveillant soit servi immédiatement.Les mainteneurs ont vérifié tous les gemmes correspondant au modèle `/ - \ d /` et peuvent confirmer qu'aucun `.gem est inattendu.En conséquence, nous pensons que cette vulnérabilité n'a pas été exploitée.Le moyen le plus simple de s'assurer que les applications d'un utilisateur n'ont pas été exploitées par cette vulnérabilité est de vérifier que tous vos .Gems téléchargés ont une somme de contrôle qui correspond à la somme de contrôle enregistrée dans la base de données RubyGems.org.Le contributeur de Rubygems Maciej Mensfeld a écrit un outil pour vérifier automatiquement que tous les fichiers .gem téléchargés correspondent aux sommes de contrôle enregistrées dans la base de données Rubygems.org.Vous pouvez l'utiliser en fonctionnant: «Bundle Ajouter Bundler-Integrity» suivi par `Bundle Exec Bundler-Integrity».Ni cet outil ni quoi que ce soit d'autre ne peut prouver que vous n'étiez pas exploité, mais le peut aider votre enquête en comparant rapidement les sommes de contrôle de RubyGems API avec la somme de contrôle des fichiers sur votre disque.Le problème a été corrigé avec une validation d'entrée améliorée et les modifications sont en direct.Aucune action n'est requise de la partie de l'utilisateur.Il est conseillé aux utilisateurs de valider leurs joyaux locaux.
rubygems.org is the Ruby community\'s primary gem (library) hosting service. Insufficient input validation allowed malicious actors to replace any uploaded gem version that had a platform, version number, or gem name matching `/-\d/`, permanently replacing the legitimate upload in the canonical gem storage bucket, and triggering an immediate CDN purge so that the malicious gem would be served immediately. The maintainers have checked all gems matching the `/-\d/` pattern and can confirm that no unexpected `.gem`s were found. As a result, we believe this vulnerability was _not_ exploited. The easiest way to ensure that a user\'s applications were not exploited by this vulnerability is to check that all of your downloaded .gems have a checksum that matches the checksum recorded in the RubyGems.org database. RubyGems contributor Maciej Mensfeld wrote a tool to automatically check that all downloaded .gem files match the checksums recorded in the RubyGems.org database. You can use it by running: `bundle add bundler-integrity` followed by `bundle exec bundler-integrity`. Neither this tool nor anything else can prove you were not exploited, but the can assist your investigation by quickly comparing RubyGems API-provided checksums with the checksums of files on your disk. The issue has been patched with improved input validation and the changes are live. No action is required on the part of the user. Users are advised to validate their local gems. |
Tool Vulnerability | ||
|
2023-08-17 18:15:14 | CVE-2023-37914 (lien direct) | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Tout utilisateur qui peut afficher `invitation.webhome` peut exécuter des macros de script arbitraire, y compris les macros Groovy et Python qui permettent l'exécution de code distant, y compris l'accès à lecture et à écrire sans restriction à tous les contenus du wiki.Cette vulnérabilité a été corrigée sur Xwiki 14.4.8, 15.2-RC-1 et 14.10.6.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau peuvent appliquer manuellement le correctif sur `invitation.invitationcommon` et` invitation.invitationconfig », mais il n'y a pas autrement des solutions de contournement connues pour cette vulnérabilité.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Any user who can view `Invitation.WebHome` can execute arbitrary script macros including Groovy and Python macros that allow remote code execution including unrestricted read and write access to all wiki contents. This vulnerability has been patched on XWiki 14.4.8, 15.2-rc-1, and 14.10.6. Users are advised to upgrade. Users unable to upgrade may manually apply the patch on `Invitation.InvitationCommon` and `Invitation.InvitationConfig`, but there are otherwise no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-08-17 17:15:10 | CVE-2023-3078 (lien direct) | Une vulnérabilité de chemin de recherche incontrôlé a été signalée dans le Client de dispositif Universal Lenovo (UDC) qui pourrait permettre à un attaquant un accès local pour exécuter du code avec des privilèges élevés.
An uncontrolled search path vulnerability was reported in the Lenovo Universal Device Client (UDC) that could allow an attacker with local access to execute code with elevated privileges. |
Vulnerability | ||
|
2023-08-17 17:15:10 | CVE-2023-4030 (lien direct) | Une vulnérabilité a été signalée dans le BIOS pour les P14S GEN 2, P15S GEN 2, T14 GEN 2 et T15 GEN 2 qui pourraient provoquer la rénovation du système à l'insécurité si le BIOS devient corrompu.
A vulnerability was reported in BIOS for ThinkPad P14s Gen 2, P15s Gen 2, T14 Gen 2, and T15 Gen 2 that could cause the system to recover to insecure settings if the BIOS becomes corrupt. |
Vulnerability | ||
|
2023-08-17 16:15:09 | CVE-2023-2915 (lien direct) | Le Thinserver Rockwell Automation ThinManager est affecté par une vulnérabilité de validation d'entrée incorrecte, en raison d'une mauvaise validation d'entrée, une vulnérabilité de traversée de chemin existe lorsque le logiciel ThinManager traite une certaine fonction.S'il est exploité, un acteur de menace à distance non authentifiée peut supprimer des fichiers arbitraires avec des privilèges système.Un utilisateur malveillant pourrait exploiter cette vulnérabilité en envoyant un message de protocole de synchronisation spécifiquement conçu résultant en une condition de déni de service.
The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability, Due to improper input validation, a path traversal vulnerability exists when the ThinManager software processes a certain function. If exploited, an unauthenticated remote threat actor can delete arbitrary files with system privileges. A malicious user could exploit this vulnerability by sending a specifically crafted synchronization protocol message resulting in a denial-of-service condition. |
Vulnerability Threat | ||
|
2023-08-17 16:15:09 | CVE-2023-2917 (lien direct) | Le Rockwell Automation ThinManager Thinserver est affecté par une vulnérabilité de validation d'entrée inappropriée. & Acirc; & nbsp; & acirc; & nbsp; en raison d'une validation d'entrée incorrecte, une vulnérabilité de traversée de chemin existe, via le champ de nom de fichier, lorsque le violonageur traite une certaine fonction.S'il est exploité, un attaquant distant non authentifié peut télécharger des fichiers arbitraires sur n'importe quel répertoire du lecteur de disque où thinserver.exe est installé.& Acirc; & nbsp; Un utilisateur malveillant pourrait exploiter cette vulnérabilité en envoyant un message de protocole de synchronisation conçu et potentiellement obtenir des capacités d'exécution de code distantes.
The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability.  Due to an improper input validation, a path traversal vulnerability exists, via the filename field, when the ThinManager processes a certain function. If exploited, an unauthenticated remote attacker can upload arbitrary files to any directory on the disk drive where ThinServer.exe is installed.  A malicious user could exploit this vulnerability by sending a crafted synchronization protocol message and potentially gain remote code execution abilities. |
Vulnerability | ||
|
2023-08-17 16:15:09 | CVE-2023-2914 (lien direct) | Le Rockwell Automation ThinManager Thinserver est affecté par une vulnérabilité de validation d'entrée incorrecte, une condition de débordement entier existe dans les produits affectés.Lorsque le ThinManager traite les messages entrants, une violation d'accès en lecture se produit et met fin au processus.Un utilisateur malveillant pourrait exploiter cette vulnérabilité en envoyant un message de protocole de synchronisation conçu et en provoquant un état de déni de service dans le logiciel.
The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability, an integer overflow condition exists in the affected products. When the ThinManager processes incoming messages, a read access violation occurs and terminates the process. A malicious user could exploit this vulnerability by sending a crafted synchronization protocol message and causing a denial of service condition in the software. |
Vulnerability |
To see everything:
Our RSS (filtrered)
