What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-08-01 14:15:09 | CVE-2022-39987 (lien direct) | Une vulnérabilité d'injection de commande dans RASPAP 2.8.0 à 2.9.2 permet à un attaquant authentifié d'exécuter des commandes de système d'exploitation arbitraires en tant que racine via les paramètres de post "Entité" dans /ajax/networking/get_wgkey.php.
A Command injection vulnerability in RaspAP 2.8.0 thru 2.9.2 allows an authenticated attacker to execute arbitrary OS commands as root via the "entity" POST parameters in /ajax/networking/get_wgkey.php. |
Vulnerability | ||
|
2023-08-01 14:15:09 | CVE-2022-39986 (lien direct) | Une vulnérabilité d'injection de commande dans RASPAP 2,8.0 à 2,8.7 permet aux attaquants non authentifiés d'exécuter des commandes arbitraires via le paramètre CFG_ID dans /ajax/openvpn/activate_ovpncfg.php.
A Command injection vulnerability in RaspAP 2.8.0 thru 2.8.7 allows unauthenticated attackers to execute arbitrary commands via the cfg_id parameter in /ajax/openvpn/activate_ovpncfg.php and /ajax/openvpn/del_ovpncfg.php. |
Vulnerability | ||
|
2023-08-01 05:15:34 | CVE-2023-26139 (lien direct) | Les versions du package de soulignement-keypath de 0.0.11 sont vulnérables à la pollution prototype via l'argument du nom de la fonction setProperty ().L'exploitation de cette vulnérabilité est possible en raison d'une désinfection des entrées incorrecte qui permet l'utilisation d'arguments comme & acirc; & euro; & oelig; __ proto __ & acirc; & euro; & # 65533;.
Versions of the package underscore-keypath from 0.0.11 are vulnerable to Prototype Pollution via the name argument of the setProperty() function. Exploiting this vulnerability is possible due to improper input sanitization which allows the usage of arguments like “__proto__�. |
Vulnerability | ||
|
2023-08-01 02:15:10 | CVE-2023-34960 (lien direct) | Une vulnérabilité d'injection de commande dans le composant WSConvertPPT de Chamilo v1.11. * Jusqu'à V1.11.18 permet aux attaquants d'exécuter des commandes arbitraires via un appel API SOAP avec un nom PowerPoint conçu.
A command injection vulnerability in the wsConvertPpt component of Chamilo v1.11.* up to v1.11.18 allows attackers to execute arbitrary commands via a SOAP API call with a crafted PowerPoint name. |
Vulnerability | ||
|
2023-08-01 02:15:09 | CVE-2020-10962 (lien direct) | Dans PowerShell App Deployment Toolkit (AKA PSAPPDEPLOYTOOLKIT) via 3.8.0, une vulnérabilité de contrôle d'accès incorrect dans la configuration par défaut peut permettre à un utilisateur authentifié d'activer potentiellement l'escalade de privilèges via l'accès local.
In PowerShell App Deployment Toolkit (aka PSAppDeployToolkit) through 3.8.0, an incorrect access control vulnerability in the default configuration may allow an authenticated user to potentially enable escalation of privilege via local access. |
Vulnerability | ||
|
2023-08-01 01:15:10 | CVE-2023-37772 (lien direct) | Le projet de portail d'achat en ligne V3.1 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre de messagerie à /hopping/login.php.
Online Shopping Portal Project v3.1 was discovered to contain a SQL injection vulnerability via the Email parameter at /shopping/login.php. |
Vulnerability | ||
|
2023-07-31 23:15:10 | CVE-2023-39122 (lien direct) | Le logiciel BMC Control-M V9.0.20.200 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre de rapport-ID AT / rapport / DeleteReport.
BMC Control-M Software v9.0.20.200 was discovered to contain a SQL injection vulnerability via the report-id parameter at /report/deleteReport. |
Vulnerability | ||
|
2023-07-31 23:15:10 | CVE-2023-3462 (lien direct) | L'entreprise Vault et Vault de Hashicorp \\ sont vulnérables à l'énumération des utilisateurs lors de l'utilisation de la méthode LDAP Auth.Un attaquant peut soumettre des demandes d'utilisateurs LDAP existants et inexistants et observer la réponse de Vault pour vérifier si le compte est valide sur le serveur LDAP.Cette vulnérabilité est fixée dans le coffre-fort 1.14.1 et 1.13.5.
HashiCorp\'s Vault and Vault Enterprise are vulnerable to user enumeration when using the LDAP auth method. An attacker may submit requests of existent and non-existent LDAP users and observe the response from Vault to check if the account is valid on the LDAP server. This vulnerability is fixed in Vault 1.14.1 and 1.13.5. |
Vulnerability | ||
|
2023-07-31 19:15:18 | CVE-2023-3983 (lien direct) | Une vulnérabilité d'injection SQL authentifiée existe dans les versions Advantech iView avant la V5.7.4 Build 6752. Un attaquant distant authentifié peut contourner les vérifications dans com.imc.iview.utils.cutils.checksqlinjection () pour effectuer l'injection SQL aveugle.
An authenticated SQL injection vulnerability exists in Advantech iView versions prior to v5.7.4 build 6752. An authenticated remote attacker can bypass checks in com.imc.iview.utils.CUtils.checkSQLInjection() to perform blind SQL injection. |
Vulnerability | ||
|
2023-07-31 17:15:10 | CVE-2023-3997 (lien direct) | Les versions Splunk Soar 6.0.2 et plus tôt sont indirectement affectées par une vulnérabilité potentielle accessible via le terminal de l'utilisateur et acirc; & euro;Un tiers peut envoyer Splunk Soar une demande Web artisanale contenant des caractères ANSI spéciaux pour provoquer un empoisonnement au fichier journal.Lorsqu'un utilisateur de terminal tente de visualiser les journaux empoisonnés, cela peut altérer le terminal et provoquer une éventuelle exécution de code malveillant de l'action Terminal User et acirc; & euro; & Trade.
Splunk SOAR versions 6.0.2 and earlier are indirectly affected by a potential vulnerability accessed through the user’s terminal. A third party can send Splunk SOAR a maliciously crafted web request containing special ANSI characters to cause log file poisoning. When a terminal user attempts to view the poisoned logs, this can tamper with the terminal and cause possible malicious code execution from the terminal user’s action. |
Vulnerability | ||
|
2023-07-31 16:15:10 | CVE-2020-36763 (lien direct) | La vulnérabilité des scripts de site croisée (XSS) dans Duxcms 2.1 permet aux attaquants distants d'exécuter du code arbitraire via le contenu, le temps, les paramètres CopyFrom lors de l'ajout ou de l'édition d'un message.
Cross Site Scripting (XSS) vulnerability in DuxCMS 2.1 allows remote attackers to run arbitrary code via the content, time, copyfrom parameters when adding or editing a post. |
Vulnerability | ||
|
2023-07-31 16:15:10 | CVE-2023-34917 (lien direct) | Fuge CMS V1.0 contient une vulnérabilité de redirection ouverte dans Membre / RegisterAct.java.
Fuge CMS v1.0 contains an Open Redirect vulnerability in member/RegisterAct.java. |
Vulnerability | ||
|
2023-07-31 16:15:10 | CVE-2023-37771 (lien direct) | Le système de gestion des galeries d'art V1.0 contient une vulnérabilité d'injection SQL via le paramètre CID à /agms/product.php.
Art Gallery Management System v1.0 contains a SQL injection vulnerability via the cid parameter at /agms/product.php. |
Vulnerability | ||
|
2023-07-31 16:15:10 | CVE-2023-34916 (lien direct) | Fuge CMS V1.0 contient une vulnérabilité de redirection ouverte via /front/processact.java.
Fuge CMS v1.0 contains an Open Redirect vulnerability via /front/ProcessAct.java. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38309 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script inter-site réfléchie (XSS) a été découverte dans la fonctionnalité de recherche de package.La vulnérabilité permet à un attaquant d'injecter une charge utile malveillante dans le champ "Rechercher du package", qui est reflété dans la réponse de l'application \\, conduisant à l'exécution du code JavaScript arbitraire dans le contexte de la victime \\navigateur.
An issue was discovered in Webmin 2.021. A Reflected Cross-Site Scripting (XSS) vulnerability was discovered in the package search functionality. The vulnerability allows an attacker to inject a malicious payload in the "Search for Package" field, which gets reflected back in the application\'s response, leading to the execution of arbitrary JavaScript code within the context of the victim\'s browser. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38311 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script de script croisée (XSS) stockée a été découverte dans la fonctionnalité de la visionneuse des journaux système.La vulnérabilité permet à un attaquant de stocker une charge utile malveillante dans le champ de configuration, déclenchant l'exécution de la charge utile lors de l'enregistrement de la configuration ou lors de l'accès à la page System Logs Viewer.
An issue was discovered in Webmin 2.021. A Stored Cross-Site Scripting (XSS) vulnerability was discovered in the System Logs Viewer functionality. The vulnerability allows an attacker to store a malicious payload in the configuration field, triggering the execution of the payload when saving the configuration or when accessing the System Logs Viewer page. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38308 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script de sites croisées (XSS) a été découverte dans la fonctionnalité du tunnel HTTP lors de la gestion des URL de domaine tiers.En fournissant une URL fabriquée à partir d'un domaine tiers, un attaquant peut injecter un code malveillant.conduisant à l'exécution du code JavaScript arbitraire dans le contexte du navigateur de la victime.
An issue was discovered in Webmin 2.021. A Cross-Site Scripting (XSS) vulnerability was discovered in the HTTP Tunnel functionality when handling third-party domain URLs. By providing a crafted URL from a third-party domain, an attacker can inject malicious code. leading to the execution of arbitrary JavaScript code within the context of the victim\'s browser. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38304 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script inter-sites stockée (XSS) a été découverte dans la fonctionnalité des utilisateurs et des groupes, permettant à un attaquant de stocker une charge utile malveillante dans le champ Nom de groupe lors de la création d'un nouveau groupe.
An issue was discovered in Webmin 2.021. A Stored Cross-Site Scripting (XSS) vulnerability was discovered in the Users and Groups functionality, allowing an attacker to store a malicious payload in the Group Name field when creating a new group. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38310 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script inter-sites stockée (XSS) a été découverte dans les paramètres de configuration de la fonctionnalité des journaux système.La vulnérabilité permet à un attaquant de stocker une charge utile XSS dans les paramètres de configuration de fichiers journaux spécifiques.Il en résulte l'exécution de cette charge utile chaque fois que les fichiers journaux affectés sont accessibles.
An issue was discovered in Webmin 2.021. A Stored Cross-Site Scripting (XSS) vulnerability was discovered in the configuration settings of the system logs functionality. The vulnerability allows an attacker to store an XSS payload in the configuration settings of specific log files. This results in the execution of that payload whenever the affected log files are accessed. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38306 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de contournement de script (XSS) inter-sites a été découverte dans la fonctionnalité de téléchargement de fichiers.Normalement, l'application restreint le téléchargement de certains types de fichiers tels que .svg, .php, etc., et affiche un message d'erreur si un type de fichier interdit est détecté.Cependant, en suivant certaines étapes, un attaquant peut contourner ces restrictions et injecter du code malveillant.
An issue was discovered in Webmin 2.021. A Cross-site Scripting (XSS) Bypass vulnerability was discovered in the file upload functionality. Normally, the application restricts the upload of certain file types such as .svg, .php, etc., and displays an error message if a prohibited file type is detected. However, by following certain steps, an attacker can bypass these restrictions and inject malicious code. |
Vulnerability | ||
|
2023-07-31 15:15:10 | CVE-2023-38307 (lien direct) | Un problème a été découvert dans Webmin 2.021.Une vulnérabilité de script inter-sites stockée (XSS) a été découverte dans la fonctionnalité des utilisateurs et des groupes.La vulnérabilité se produit lorsqu'un utilisateur authentifié ajoute un nouvel utilisateur et insère une charge utile XSS dans le vrai nom de l'utilisateur.
An issue was discovered in Webmin 2.021. A Stored Cross-Site Scripting (XSS) vulnerability was discovered in the Users and Groups functionality. The vulnerability occurs when an authenticated user adds a new user and inserts an XSS payload into the user\'s real name. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2021-31651 (lien direct) | La vulnérabilité des scripts du site croisé (XSS) dans Neofarg-CMS 0.2.3 permet à Remoate Attateur d'exécuter du code arbitraire via le champ Copyright dans les paramètres du droit d'auteur.
Cross Site Scripting (XSS) vulnerability in neofarg-cms 0.2.3 allows remoate attacker to run arbitrary code via the copyright field in copyright settings. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-36089 (lien direct) | ** Non pris en charge lorsqu'il est attribué ** La vulnérabilité de contournement d'authentification dans D-Link Dir-645 Firmware version 1.03 permet aux attaquants distants d'obtenir des privilèges croissants via la fonction PHPCGI_MAIN dans CGIBIN.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur.
** UNSUPPORTED WHEN ASSIGNED ** Authentication Bypass vulnerability in D-Link DIR-645 firmware version 1.03 allows remote attackers to gain escalated privileges via function phpcgi_main in cgibin. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-36090 (lien direct) | ** non pris en charge lorsqu'il est attribué ** La vulnérabilité de contournement d'authentification dans D-Link Dir-885L FW102B01 permet aux attaquants distants de gagner des privilèges intensifiés via PHPCGI.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur.
** UNSUPPORTED WHEN ASSIGNED ** Authentication Bypass vulnerability in D-Link DIR-885L FW102b01 allows remote attackers to gain escalated privileges via phpcgi. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-34842 (lien direct) | La vulnérabilité d'exécution du code distant dans les Dedecms via 5.7.109 permet aux attaquants distants d'exécuter du code arbitraire via une demande de post fabriquée à /dede/tpl.php.
Remote Code Execution vulnerability in DedeCMS through 5.7.109 allows remote attackers to run arbitrary code via crafted POST request to /dede/tpl.php. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-34644 (lien direct) | Vulnérabilité d'exécution de code distant dans Ruijie Networks Produit: RG-EW Routers Home Routers EW_3.0 (1) B11p204, RG-NBS et RG-S1930 Switches Switches Swits_3.0 (1) B11p218, RG-EG Série VPN Routers EG_3.0(1) B11p216, Points d'accès sans fil de série EAP et RAP AP_3.0 (1) B11p218, Contrôleurs sans fil de la série NBC AC_3.0 (1) B11p86 permet aux attaquants distants de gagner des privilèges escalatés via la demande de post fabriquée à / cgi-bin / luci /API / AUTH.
Remote code execution vulnerability in Ruijie Networks Product: RG-EW series home routers EW_3.0(1)B11P204, RG-NBS and RG-S1930 series switches SWITCH_3.0(1)B11P218, RG-EG series business VPN routers EG_3.0(1)B11P216, EAP and RAP series wireless access points AP_3.0(1)B11P218, NBC series wireless controllers AC_3.0(1)B11P86 allows remote attackers to gain escalated privileges via crafted POST request to /cgi-bin/luci/api/auth. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-36091 (lien direct) | ** Non pris en charge lorsqu'il est attribué ** La vulnérabilité de contournement d'authentification dans D-Link Dir-895 FW102B07 permet aux attaquants distants d'obtenir des privilèges intensifiés via via la fonction phpcgi_main dans CGIBIN.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur.
** UNSUPPORTED WHEN ASSIGNED ** Authentication Bypass vulnerability in D-Link DIR-895 FW102b07 allows remote attackers to gain escalated privileges via via function phpcgi_main in cgibin. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-34635 (lien direct) | WiFi Soft Unibox Administration 3.0 et 3.1 est vulnérable à l'injection SQL.La vulnérabilité se produit en raison de ne pas valider ou désinfecter l'entrée utilisateur dans le champ Nom d'utilisateur de la page de connexion.
Wifi Soft Unibox Administration 3.0 and 3.1 is vulnerable to SQL Injection. The vulnerability occurs because of not validating or sanitizing the user input in the username field of the login page. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-34872 (lien direct) | Une vulnérabilité dans Outline.cc pour Poppler avant 23.06.0 permet à un attaquant distant de provoquer un déni de service (DOS) (crash) via un fichier PDF fabriqué dans OutlineItem :: Open.
A vulnerability in Outline.cc for Poppler prior to 23.06.0 allows a remote attacker to cause a Denial of Service (DoS) (crash) via a crafted PDF file in OutlineItem::open. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2021-31680 (lien direct) | La désérialisation de la vulnérabilité des données non fiables dans YOLO 5 permet aux attaquants d'exécuter du code arbitraire via le fichier YAML fabriqué.
Deserialization of Untrusted Data vulnerability in yolo 5 allows attackers to execute arbitrary code via crafted yaml file. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2021-31681 (lien direct) | La désérialisation de la vulnérabilité des données non fiables dans YOLO 3 permet aux attaquants d'exécuter du code arbitraire via le fichier YAML fabriqué.
Deserialization of Untrusted Data vulnerability in yolo 3 allows attackers to execute arbitrary code via crafted yaml file. |
Vulnerability | ||
|
2023-07-31 14:15:10 | CVE-2023-36092 (lien direct) | ** non pris en charge lorsqu'il est attribué ** La vulnérabilité de contournement d'authentification dans D-Link Dir-859 FW105B03 permet aux attaquants distants de gagner des privilèges intensifiés via PHPCGI_MAIN.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur.
** UNSUPPORTED WHEN ASSIGNED ** Authentication Bypass vulnerability in D-Link DIR-859 FW105b03 allows remote attackers to gain escalated privileges via via phpcgi_main. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. |
Vulnerability | ||
|
2023-07-31 14:15:09 | CVE-2020-21662 (lien direct) | La vulnérabilité de l'injection SQL dans Yunyecms 2.0.2 permet aux attaquants distants d'exécuter des commandes SQL arbitraires via XFF.
SQL injection vulnerability in yunyecms 2.0.2 allows remote attackers to run arbitrary SQL commands via XFF. |
Vulnerability | ||
|
2023-07-31 14:15:09 | CVE-2020-21881 (lien direct) | La vulnérabilité de la contrefaçon de demande de site croisé (CSRF) dans admin.php dans Duxcms 2.1 permet aux attaquants distants de modfier les données d'application via l'article / admin / contenu / add.
Cross Site Request Forgery (CSRF) vulnerability in admin.php in DuxCMS 2.1 allows remote attackers to modtify application data via article/admin/content/add. |
Vulnerability | ||
|
2023-07-31 13:15:09 | CVE-2023-37647 (lien direct) | SEMCMS V1.5 a été découvert pour contenir une vulnérabilité d'injection SQL via le paramètre ID à /ant_suuxin.php.
SEMCMS v1.5 was discovered to contain a SQL injection vulnerability via the id parameter at /Ant_Suxin.php. |
Vulnerability | ||
|
2023-07-31 13:15:09 | CVE-2023-35861 (lien direct) | Une vulnérabilité d'injection de shell dans les notifications par e-mail sur les cartes mères Supermicro (telles que H12DST-B avant 03.10.35) permet aux attaquants distants d'injecter des commandes arbitraires en tant que root sur le BMC.
A shell-injection vulnerability in email notifications on Supermicro motherboards (such as H12DST-B before 03.10.35) allows remote attackers to inject execute arbitrary commands as root on the BMC. |
Vulnerability | ||
|
2023-07-31 02:15:09 | CVE-2023-22595 (lien direct) | IBM B2B Advanced Communications 1.0.0.0 et IBM Multi-Entrise Integration Gateway 1.0.0.1 sont vulnérables aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 244076.
IBM B2B Advanced Communications 1.0.0.0 and IBM Multi-Enterprise Integration Gateway 1.0.0.1 are vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 244076. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39017 (lien direct) | Quartz-Jobs 2.3.2 et ci-dessous a été découvert pour contenir une vulnérabilité d'injection de code dans le composant org.quartz.jobs.ee.jms.sendqueueMessageJob.execute.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
quartz-jobs 2.3.2 and below was discovered to contain a code injection vulnerability in the component org.quartz.jobs.ee.jms.SendQueueMessageJob.execute. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39021 (lien direct) | Wix-Embedded-Mysql V4.6.1 et ci-dessous a été découvert pour contenir une vulnérabilité d'injection de code dans le composant com.wix.mysql.distribution.setup.apply.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
wix-embedded-mysql v4.6.1 and below was discovered to contain a code injection vulnerability in the component com.wix.mysql.distribution.Setup.apply. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39020 (lien direct) | Stanford-Parser V3.9.2 et ci-dessous a été découvert qu'il contenait une vulnérabilité d'injection de code dans le composant edu.stanford.nlp.io.getBzip2PipeDInputStream.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
stanford-parser v3.9.2 and below was discovered to contain a code injection vulnerability in the component edu.stanford.nlp.io.getBZip2PipedInputStream. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39023 (lien direct) | University Compass V2.2.0 et ci-dessous a été découverte contenant une vulnérabilité d'injection de code dans le composant org.compass.core.executor.defaultExecutorManager.configure.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
university compass v2.2.0 and below was discovered to contain a code injection vulnerability in the component org.compass.core.executor.DefaultExecutorManager.configure. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39018 (lien direct) | FFMPEG 0.7.0 et ci-dessous ont été découverts contenant une vulnérabilité d'injection de code dans le composantnet.bramp.ffmpeg.ffmpeg. .Cette vulnérabilité est exploitée en passant un argument non contrôlé.
FFmpeg 0.7.0 and below was discovered to contain a code injection vulnerability in the component net.bramp.ffmpeg.FFmpeg.. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39022 (lien direct) | Oscore v2.2.6 et ci-dessous ont été découverts contenant une vulnérabilité d'injection de code dans le composant com.opensymphony.util.ejbutils.CreateStateless.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
oscore v2.2.6 and below was discovered to contain a code injection vulnerability in the component com.opensymphony.util.EJBUtils.createStateless. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:13 | CVE-2023-39016 (lien direct) | Il a été découvert que BBOSS-Persistent V6.0.9 et ci-dessous contiennent une vulnérabilité d'injection de code dans le composant com.frameworksset.common.poolman.util.sqlmanager.createpool.Cette vulnérabilité est exploitée en passant un argument non contrôlé.
bboss-persistent v6.0.9 and below was discovered to contain a code injection vulnerability in the component com.frameworkset.common.poolman.util.SQLManager.createPool. This vulnerability is exploited via passing an unchecked argument. |
Vulnerability | ||
|
2023-07-28 15:15:12 | CVE-2023-38992 (lien direct) | On a découvert que Jeecg-Boot V3.5.1 contenait une vulnérabilité d'injection SQL via le paramètre de titre à / sys / dict / loadTreedata.
jeecg-boot v3.5.1 was discovered to contain a SQL injection vulnerability via the title parameter at /sys/dict/loadTreeData. |
Vulnerability | ||
|
2023-07-28 15:15:12 | CVE-2023-39013 (lien direct) | Duke v1.2 et ci-dessous ont été découverts contenant une vulnérabilité d'injection de code via le composant n ° priv.garshol.duke.server.commonjtimer.init.
Duke v1.2 and below was discovered to contain a code injection vulnerability via the component no.priv.garshol.duke.server.CommonJTimer.init. |
Vulnerability | ||
|
2023-07-28 15:15:12 | CVE-2023-39010 (lien direct) | Boofcv 0.42 a été découvert comme contenant une vulnérabilité d'injection de code via le composant Boofcv.io.Calibration.Calibrationio.load.Cette vulnérabilité est exploitée en chargeant un fichier d'étalonnage de caméra fabriqué.
BoofCV 0.42 was discovered to contain a code injection vulnerability via the component boofcv.io.calibration.CalibrationIO.load. This vulnerability is exploited by loading a crafted camera calibration file. |
Vulnerability | ||
|
2023-07-28 15:15:12 | CVE-2023-39015 (lien direct) | WebMagic-Extension V0.9.0 et ci-dessous ont été découverts contenant une vulnérabilité d'injection de code via le composant us.codecraft.webmagic.downloader.phantomjsdownloader.
webmagic-extension v0.9.0 and below was discovered to contain a code injection vulnerability via the component us.codecraft.webmagic.downloader.PhantomJSDownloader. |
Vulnerability | ||
|
2023-07-28 15:15:11 | CVE-2023-37754 (lien direct) | PowerJob V4.3.3 a été découvert contenant une vulnérabilité d'exécution de commande distante (RCE) via le paramètre instanceId à / instance / détail.
PowerJob v4.3.3 was discovered to contain a remote command execution (RCE) vulnerability via the instanceId parameter at /instance/detail. |
Vulnerability | ||
|
2023-07-28 15:15:10 | CVE-2023-37467 (lien direct) | Le discours est une plate-forme de discussion open source.Avant la version 3.1.0.beta7 des succursales «bêta» et «tests-trassés», une vulnérabilité de réutilisation non-CSP (politique de sécurité du contenu) pourrait permettre aux attaques de script de sites croisées (XSS) de contourner la protection CSP pour les anonymes (c'est-à-dire les utilisateurs non authentifiés).Il n'y a pas de vecteurs XSS connus pour le moment, mais si l'on est découvert, cette vulnérabilité permettrait à l'attaque XSS de contourner le CSP et de s'exécuter avec succès.Cette vulnérabilité n'est pas applicable aux utilisateurs connectés.La version 3.1.0.beta7 contient un correctif.La branche stable n'a pas cette vulnérabilité.Une solution de contournement pour empêcher la vulnérabilité consiste à désactiver Google Tag Manager, c'est-à-dire un défaut du paramètre «GTM Container ID».
Discourse is an open source discussion platform. Prior to version 3.1.0.beta7 of the `beta` and `tests-passed` branches, a CSP (Content Security Policy) nonce reuse vulnerability was discovered could allow cross-site scripting (XSS) attacks to bypass CSP protection for anonymous (i.e. unauthenticated) users. There are no known XSS vectors at the moment, but should one be discovered, this vulnerability would allow the XSS attack to bypass CSP and execute successfully. This vulnerability isn\'t applicable to logged-in users. Version 3.1.0.beta7 contains a patch. The stable branch doesn\'t have this vulnerability. A workaround to prevent the vulnerability is to disable Google Tag Manager, i.e., unset the `gtm container id` setting. |
Vulnerability |
To see everything:
Our RSS (filtrered)
