SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-09-06 13:15:11	CVE-2023-41946 (lien direct)	Une vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de test Frugal Jenkins 1.1 et permet aux attaquants de se connecter à des tests frugaux à l'aide d'identification spécifiée de l'attaquant, et de récupérer des identifiants et des noms de test à partir de tests frugaux, si un identifiant valide correspond à l'attaquant-Nom d'utilisateur spécifié. A cross-site request forgery (CSRF) vulnerability in Jenkins Frugal Testing Plugin 1.1 and earlier allows attackers to connect to Frugal Testing using attacker-specified credentials, and to retrieve test IDs and names from Frugal Testing, if a valid credential corresponds to the attacker-specified username.	Vulnerability
	2023-09-06 13:15:10	CVE-2023-41938 (lien direct)	Une vulnérabilité de contrefaçon de demande croisée (CSRF) dans Jenkins Ivy Plugin 2.5 et précédemment permet aux attaquants de supprimer les modules désactivés. A cross-site request forgery (CSRF) vulnerability in Jenkins Ivy Plugin 2.5 and earlier allows attackers to delete disabled modules.	Vulnerability
	2023-09-06 13:15:10	CVE-2023-41935 (lien direct)	Jenkins Azure AD Plugin 396.v86ce29279947 et plus tôt, sauf 378.380.v545b_1154b_3fb_, utilise une fonction de comparaison temporelle non constante lors de la vérification des méthodes statistiques fournies et attendues est une protection CSRF non exercée. Jenkins Azure AD Plugin 396.v86ce29279947 and earlier, except 378.380.v545b_1154b_3fb_, uses a non-constant time comparison function when checking whether the provided and expected CSRF protection nonce are equal, potentially allowing attackers to use statistical methods to obtain a valid nonce.
	2023-09-06 13:15:10	CVE-2023-41939 (lien direct)	Jenkins SSH2 Easy Plugin 1.4 et antérieure ne vérifie pas que les autorisations confiées pour être accordées sont activées, permettant potentiellement aux utilisateurs autrefois accordés (généralement des autorisations facultatives, comme globalement / gérer) pour accéder aux fonctionnalités auxquelles ils n'en ont plus droit. Jenkins SSH2 Easy Plugin 1.4 and earlier does not verify that permissions configured to be granted are enabled, potentially allowing users formerly granted (typically optional permissions, like Overall/Manage) to access functionality they\'re no longer entitled to.
	2023-09-06 13:15:10	CVE-2023-41933 (lien direct)	Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f et précédemment ne configure pas son analyseur XML pour empêcher les attaques de l'entité externe XML (XXE). Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.
	2023-09-06 13:15:10	CVE-2023-41934 (lien direct)	Jenkins Pipeline Maven Integration Plugin 1330.V18E473854496 et précédemment ne masque pas correctement (c'est-à-dire remplacer par des astérisques) des noms d'utilisateur des informations d'identification spécifiées dans les paramètres Maven personnalisés dans les journaux de construction de pipelines si "Traiter le nom d'utilisateur comme secret" est vérifié. Jenkins Pipeline Maven Integration Plugin 1330.v18e473854496 and earlier does not properly mask (i.e., replace with asterisks) usernames of credentials specified in custom Maven settings in Pipeline build logs if "Treat username as secret" is checked.
	2023-09-06 13:15:10	CVE-2023-41936 (lien direct)	Le plugin de connexion Jenkins Google 1.7 et précédemment utilise une fonction de comparaison de temps non constante lors de la vérification si le jeton fourni et attendu est égal, permettant potentiellement aux attaquants d'utiliser des méthodes statistiques pour obtenir un jeton valide. Jenkins Google Login Plugin 1.7 and earlier uses a non-constant time comparison function when checking whether the provided and expected token are equal, potentially allowing attackers to use statistical methods to obtain a valid token.
	2023-09-06 13:15:10	CVE-2023-41937 (lien direct)	Jenkins Bitbucket Push and Pull Request Plugin 2.4.0 à 2.8.3 (les deux inclusifs) Fonctionne les valeurs fournies dans la charge utile WebHook, y compris certaines URL, et utilise des informations d'identification BitBucket configurées pour se connecter à ces URL, permettant aux attaquants de capturer les informations d'identification BitBucket stockées dans JenkinsEn envoyant une charge utile Webhook fabriquée. Jenkins Bitbucket Push and Pull Request Plugin 2.4.0 through 2.8.3 (both inclusive) trusts values provided in the webhook payload, including certain URLs, and uses configured Bitbucket credentials to connect to those URLs, allowing attackers to capture Bitbucket credentials stored in Jenkins by sending a crafted webhook payload.
	2023-09-06 13:15:09	CVE-2023-41931 (lien direct)	Jenkins Configuration du travail Plugin History 1227.v7a_79fc4dc01f et antérieurement ne se désinfecte ni n'échappe à la valeur horodato à partir des entrées historiques lors de la rendu d'une entrée d'historique sur la vue historique, ce qui entraîne une vulnérabilité de script inter-site stockée (XSS). Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f and earlier does not property sanitize or escape the timestamp value from history entries when rendering a history entry on the history view, resulting in a stored cross-site scripting (XSS) vulnerability.
	2023-09-06 13:15:09	CVE-2023-41150 (lien direct)	La série F-Revocrm 7.3 avant la version7.3.8 contient une vulnérabilité de script inter-sites.Si cette vulnérabilité est exploitée, un script arbitraire peut être exécuté sur le navigateur Web de l'utilisateur qui utilise le produit. F-RevoCRM 7.3 series prior to version7.3.8 contains a cross-site scripting vulnerability. If this vulnerability is exploited, an arbitrary script may be executed on the web browser of the user who is using the product.	Vulnerability
	2023-09-06 13:15:09	CVE-2023-41149 (lien direct)	F-Revocrm version7.3.7 et version7.3.8 contient une vulnérabilité d'injection de commande OS.Si cette vulnérabilité est exploitée, un attaquant qui peut accéder au produit peut exécuter une commande OS arbitraire sur le serveur où le produit est en cours d'exécution. F-RevoCRM version7.3.7 and version7.3.8 contains an OS command injection vulnerability. If this vulnerability is exploited, an attacker who can access the product may execute an arbitrary OS command on the server where the product is running.	Vulnerability
	2023-09-06 13:15:09	CVE-2023-41930 (lien direct)	Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f et précédemment ne restreint pas le paramètre de requête \\ 'name \' lors de la rendu d'une entrée d'historique, permettant aux attaquants de faire en sorte que Jenkins rende un historique de configuration manipulé qui n'a pas été créé par le plugin. Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f and earlier does not restrict the \'name\' query parameter when rendering a history entry, allowing attackers to have Jenkins render a manipulated configuration history that was not created by the plugin.
	2023-09-06 13:15:09	CVE-2023-41932 (lien direct)	Jenkins Configuration History Plugin 1227.v7a_79fc4dc01f et précédemment ne restreint pas les paramètres de requête \\ 'Timestamp \' dans plusieurs points de terminaison, permettant aux attaquants de supprimer des répertoires spécifiés par l'attaquant sur le système de fichiers de contrôleur Jenkins tant qu'ils contiennent un fichier appelé \ \ ATTACH\ 'History.xml \'. Jenkins Job Configuration History Plugin 1227.v7a_79fc4dc01f and earlier does not restrict \'timestamp\' query parameters in multiple endpoints, allowing attackers with to delete attacker-specified directories on the Jenkins controller file system as long as they contain a file called \'history.xml\'.
	2023-09-06 13:15:08	CVE-2023-36387 (lien direct)	Une autorisation API REST par défaut incorrecte pour les utilisateurs de Gamma dans Apache SuperSet jusqu'à et y compris 2.1.0 permet à un utilisateur Gamma authentifié de tester les connexions de la base de données. An improper default REST API permission for Gamma users in Apache Superset up to and including 2.1.0 allows for an authenticated Gamma user to test database connections.
	2023-09-06 13:15:08	CVE-2023-39264 (lien direct)	Par défaut, des traces de pile pour les erreurs ont été activées, ce qui a entraîné l'exposition de traces internes sur les points de terminaison de l'API REST aux utilisateurs. & Acirc; & nbsp; cette vulnérabilité existe dans les versions SuperSet Apache jusqu'à et y compris 2.1.0. By default, stack traces for errors were enabled, which resulted in the exposure of internal traces on REST API endpoints to users.Â This vulnerability exists in Apache Superset versions up to and including 2.1.0.	Vulnerability
	2023-09-06 13:15:08	CVE-2023-27523 (lien direct)	Autorisation de données incorrecte Vérification des requêtes de modèle Jinja dans Apache SuperSet & Acirc; & nbsp; jusqu'à et y compris 2.1.0 permet à un utilisateur authentifié d'émettre des requêtes sur les tables de base de données auxquelles ils peuvent ne pas avoir accès. Improper data authorization check on Jinja templated queries in Apache SupersetÂ up to and including 2.1.0 allows for an authenticated user to issue queries on database tables they may not have access to.
	2023-09-06 13:15:08	CVE-2023-36388 (lien direct)	L'autorisation API REST incorrecte dans Apache SuperSet jusqu'à et y compris 2.1.0 permet aux utilisateurs de Gamma authentifiés de tester les connexions réseau, SSRF possible. Improper REST API permission in Apache Superset up to and including 2.1.0 allows for an authenticated Gamma users to test network connections, possible SSRF.
	2023-09-06 13:15:08	CVE-2023-27526 (lien direct)	Un utilisateur non authentifié non administrateur pourrait créer de manière incorrecte des ressources à l'aide de la fonction d'importation des graphiques, sur Apache SuperSet jusqu'à et y compris 2.1.0. & Acirc; & nbsp; A non Admin authenticated user could incorrectly create resources using the import charts feature, on Apache Superset up to and including 2.1.0.Â
	2023-09-06 12:15:07	CVE-2023-4588 (lien direct)	Vulnérabilité d'accessibilité des fichiers dans Delinea Secret Server, dans ses versions V10.9.000002 et V11.4.000002.L'exploitation de cette vulnérabilité pourrait permettre à un utilisateur authentifié de privilèges administratifs de créer un fichier de sauvegarde dans le répertoire WebRoot de l'application \\, en modifiant le répertoire de sauvegarde par défaut dans le dossier wwwroot et en téléchargez avec certains fichiers de configuration tels que Encryption.config /et database.config stocké dans le répertoire wwwroot, exposant les informations d'identification de la base de données en texte brut. File accessibility vulnerability in Delinea Secret Server, in its v10.9.000002 and v11.4.000002 versions. Exploitation of this vulnerability could allow an authenticated user with administrative privileges to create a backup file in the application\'s webroot directory, changing the default backup directory to the wwwroot folder, and download it with some configuration files such as encryption.config/ and database.config stored in the wwwroot directory, exposing the database credentials in plain text.	Vulnerability
	2023-09-06 12:15:07	CVE-2023-4589 (lien direct)	Vérification insuffisante de la vulnérabilité de l'authenticité des données dans le serveur secret de la chair, dans sa version V10.9.000002.Un attaquant avec un compte administrateur pourrait effectuer des mises à jour logicielles sans mécanismes de vérification d'intégrité appropriés.Dans ce scénario, le processus de mise à jour manque de signatures numériques et ne valide pas l'intégrité du package de mise à jour, permettant à l'attaquant d'injecter des applications malveillantes pendant la mise à jour. Insufficient verification of data authenticity vulnerability in Delinea Secret Server, in its v10.9.000002 version. An attacker with an administrator account could perform software updates without proper integrity verification mechanisms. In this scenario, the update process lacks digital signatures and fails to validate the integrity of the update package, allowing the attacker to inject malicious applications during the update.	Vulnerability
	2023-09-06 10:15:15	CVE-2023-40531 (lien direct)	Versions Archer AX6000 Firmware avant \\ 'Archer AX6000 (JP) _V1_1.3.0 build 20221208 \' permet à un attaquant authentifié adjacent de réseau d'exécuter des commandes de système d'exploitation arbitraires. Archer AX6000 firmware versions prior to \'Archer AX6000(JP)_V1_1.3.0 Build 20221208\' allows a network-adjacent authenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:14	CVE-2023-39935 (lien direct)	Les versions du microcher C5400 avant \\ 'Archer C5400 (JP) _v2_230506 \' permet à un attaquant authentifié adjacent de réseau d'exécuter des commandes de système d'exploitation arbitraires. Archer C5400 firmware versions prior to \'Archer C5400(JP)_V2_230506\' allows a network-adjacent authenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:14	CVE-2023-39224 (lien direct)	Firmware Archer C5 Toutes les versions et les versions du microcher Archer C7 avant \\ 'Archer C7 (JP) _v2_230602 \' Autoriser un attaquant authentifié adjacent au réseau pour exécuter des commandes de système d'exploitation arbitraires.Notez qu'Archer C5 n'est plus pris en charge, donc la mise à jour de ce produit n'est pas fournie. Archer C5 firmware all versions and Archer C7 firmware versions prior to \'Archer C7(JP)_V2_230602\' allow a network-adjacent authenticated attacker to execute arbitrary OS commands. Note that Archer C5 is no longer supported, therefore the update for this product is not provided.
	2023-09-06 10:15:14	CVE-2023-38588 (lien direct)	Les versions du firmware Archer C3150 avant \\ 'Archer C3150 (JP) _V2_230511 \' permet à un attaquant authentifié adjacent de réseau d'exécuter des commandes de système d'exploitation arbitraires. Archer C3150 firmware versions prior to \'Archer C3150(JP)_V2_230511\' allows a network-adjacent authenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:14	CVE-2023-38568 (lien direct)	Les versions du firmware Archer A10 avant \\ 'Archer A10 (JP) _v2_230504 \' permettent à un attaquant non authentifié adjacent de réseau d'exécuter des commandes de système d'exploitation arbitraires. Archer A10 firmware versions prior to \'Archer A10(JP)_V2_230504\' allows a network-adjacent unauthenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:14	CVE-2023-38563 (lien direct)	Versions Archer C1200 du micrologiciel avant \\ 'Archer C1200 (JP) _v2_230508 \' et les versions du firmware Archer C9 avant \\ 'Archer C9 (JP) _v3_230508 \' Autoriser un attaquant unauthentisé par le réseau. Archer C1200 firmware versions prior to \'Archer C1200(JP)_V2_230508\' and Archer C9 firmware versions prior to \'Archer C9(JP)_V3_230508\' allow a network-adjacent unauthenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:14	CVE-2023-40357 (lien direct)	Plusieurs produits TP-Link permettent à un attaquant authentifié adjacent au réseau d'exécuter des commandes de système d'exploitation arbitraires.Les produits / versions affectés sont les suivants: Versions Archer AX50 Firmware Avant \\ 'Archer AX50 (JP) _V1_230529 \', Versions du micrologiciel Archer A10 avant \\ 'Archer A10 (JP) _v2_230504 \', archicher AX10 Versions de micrologie versAvant \\ 'archer ax10 (jp) _v1.2_230508 \', et les versions du firmware archer ax11000 avant \\ 'archer ax11000 (jp) _v1_230523 \'. Multiple TP-LINK products allow a network-adjacent authenticated attacker to execute arbitrary OS commands. Affected products/versions are as follows: Archer AX50 firmware versions prior to \'Archer AX50(JP)_V1_230529\', Archer A10 firmware versions prior to \'Archer A10(JP)_V2_230504\', Archer AX10 firmware versions prior to \'Archer AX10(JP)_V1.2_230508\', and Archer AX11000 firmware versions prior to \'Archer AX11000(JP)_V1_230523\'.
	2023-09-06 10:15:14	CVE-2023-40193 (lien direct)	Versions du micrologiciel Deco M4 Avant \\ 'déco m4 (jp) _v2_1.5.8 build 20230619 \' permet à un attaquant authentifié adjacent de réseau d'exécuter des commandes de système d'exploitation arbitraires. Deco M4 firmware versions prior to \'Deco M4(JP)_V2_1.5.8 Build 20230619\' allows a network-adjacent authenticated attacker to execute arbitrary OS commands.
	2023-09-06 10:15:13	CVE-2023-32619 (lien direct)	Versions Archer C50 Firmware Avant \\ 'Archer C50 (JP) _V3_230505 \' et les versions du firmware archer C55 avant \\ 'Archer C55 (JP) _v1_230506 \' UtiliserPeut permettre à un attaquant non authentifié adjacent au réseau d'exécuter une commande de système d'exploitation arbitraire. Archer C50 firmware versions prior to \'Archer C50(JP)_V3_230505\' and Archer C55 firmware versions prior to \'Archer C55(JP)_V1_230506\' use hard-coded credentials to login to the affected device, which may allow a network-adjacent unauthenticated attacker to execute an arbitrary OS command.
	2023-09-06 10:15:13	CVE-2023-36489 (lien direct)	Plusieurs produits TP-Link permettent à un attaquant non authentifié adjacent au réseau d'exécuter des commandes de système d'exploitation arbitraires.Les produits / versions affectés sont les suivants: versions TL-WR802N du micrologiciel avant \'TL-WR802N (JP) _V4_221008 \', TL-WR841N Versions du micrologiciel avant \\ 'TL-WR841N (JP) _V14_230506 \', et TL-WR902AC Versions du micrologie avant \\ 'TL-WR902AC (JP)_V3_230506 \\ '. Multiple TP-LINK products allow a network-adjacent unauthenticated attacker to execute arbitrary OS commands. Affected products/versions are as follows: TL-WR802N firmware versions prior to \'TL-WR802N(JP)_V4_221008\', TL-WR841N firmware versions prior to \'TL-WR841N(JP)_V14_230506\', and TL-WR902AC firmware versions prior to \'TL-WR902AC(JP)_V3_230506\'.
	2023-09-06 10:15:13	CVE-2023-37284 (lien direct)	Une mauvaise vulnérabilité d'authentification dans les versions du microcher Archer C20 avant \\ 'Archer C20 (JP) _v1_230616 \' permet à un attaquant non authentifié de réseau de réseau d'exécuter une commande de système d'exploitation arbitraire via une demande fabriquée pour contourner l'authentification. Improper authentication vulnerability in Archer C20 firmware versions prior to \'Archer C20(JP)_V1_230616\' allows a network-adjacent unauthenticated attacker to execute an arbitrary OS command via a crafted request to bypass authentication.	Vulnerability
	2023-09-06 10:15:13	CVE-2023-31188 (lien direct)	Plusieurs produits TP-Link permettent à un attaquant authentifié adjacent au réseau d'exécuter des commandes de système d'exploitation arbitraires.Les produits / versions affectés sont les suivants: Versions Archer C50 Firmware Avant \\ 'Archer C50 (JP) _V3_230505 \', Versions du firmware Archer C55 avant \\ 'Archer C55 (JP) _v1_230506 \', et archer C20 (JP)Versions antérieures à \\ 'archer C20 (JP) _v1_230616 \'. Multiple TP-LINK products allow a network-adjacent authenticated attacker to execute arbitrary OS commands. Affected products/versions are as follows: Archer C50 firmware versions prior to \'Archer C50(JP)_V3_230505\', Archer C55 firmware versions prior to \'Archer C55(JP)_V1_230506\', and Archer C20 firmware versions prior to \'Archer C20(JP)_V1_230616\'.
	2023-09-06 09:15:08	CVE-2023-40007 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Ujwol Bastakoti CT Commerce Plugin	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40601 (lien direct)	Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de calculatrice hypothécaire ESTATIK ESTATIK	Vulnerability
	2023-09-06 09:15:08	CVE-2023-4634 (lien direct)	Le plugin Assistant de bibliothèque multimédia pour WordPress est vulnérable à l'inclusion de fichiers locaux et à l'exécution de code distant dans les versions jusqu'à et comprenant 3.09.Cela est dû à des contrôles insuffisants sur les chemins de fichier fournis au paramètre \\ 'mla_stream_file \' à partir du fichier ~ / incluse / mla-stream-image.php, où les images sont traitées via Imagick ().Cela permet aux attaquants non authentifiés de fournir des fichiers via FTP qui rendront possible les listes de répertoires, l'inclusion de fichiers locaux et l'exécution du code distant. The Media Library Assistant plugin for WordPress is vulnerable to Local File Inclusion and Remote Code Execution in versions up to, and including, 3.09. This is due to insufficient controls on file paths being supplied to the \'mla_stream_file\' parameter from the ~/includes/mla-stream-image.php file, where images are processed via Imagick(). This makes it possible for unauthenticated attackers to supply files via FTP that will make directory lists, local file inclusion, and remote code execution possible.
	2023-09-06 09:15:08	CVE-2023-40552 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de plugin Gurcharan Singh Fitness Calculator	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40329 (lien direct)	Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans la page de connexion Admin personnalisée WPZEST Page \|Plugin wpzest	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40328 (lien direct)	Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin Carrrot	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40553 (lien direct)	Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin d'analyse plausible plausible. Unauth. Reflected Cross-Site Scripting (XSS) vulnerability in Plausible.Io Plausible Analytics plugin	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40560 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de calendrier Greg Ross Plancées	Vulnerability
	2023-09-06 09:15:08	CVE-2023-40554 (lien direct)	Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Blog2Social, Adenion Blog2Social: Social Media Auto Post & amp;Plugin Scheduler	Vulnerability
	2023-09-06 09:15:07	CVE-2023-30497 (lien direct)	Unauth.La vulnérabilité de script de sites croisées réfléchie (XSS) dans le plugin de notifier Simon Chuang WP	Vulnerability
	2023-09-06 08:15:44	CVE-2023-4705 (lien direct)	Rejet CVE-2023-4705 a été attribué à tort à un bogue qui a été considéré comme un problème de non-sécurité par l'équipe de sécurité du noyau Linux. REJECT CVE-2023-4705 was wrongly assigned to a bug that was deemed to be a non-security issue by the Linux kernel security team.
	2023-09-06 08:15:43	CVE-2023-29441 (lien direct)	Unauth.Vulnérabilité reflétée de scripts inter-sites (XSS) dans le plugin Robert Heller WebBibrarian	Vulnerability
	2023-09-06 07:15:09	CVE-2023-4779 (lien direct)	Le plugin de messages soumis par l'utilisateur pour WordPress est vulnérable aux scripts inter-sites stockés via le shortcode de plugin \\ du plugin \\ du plugin \\ du plugin \\ du plugin \\ du plugin \\ du plugin \ret'avant\'.Cela permet aux attaquants authentifiés avec des autorisations au niveau des contributeurs et au-dessus d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée. The User Submitted Posts plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin\'s [usp_gallery] shortcode in versions up to, and including, 20230811 due to insufficient input sanitization and output escaping on user supplied attributes like \'before\'. This makes it possible for authenticated attackers with contributor-level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
	2023-09-06 05:15:42	CVE-2023-3471 (lien direct)	La vulnérabilité de débordement de tampon dans les versions de l'observateur KW Panasonic 1.00 à 2.82 peut permettre aux attaquants d'exécuter du code arbitraire. Buffer overflow vulnerability in Panasonic KW Watcher versions 1.00 through 2.82 may allow attackers to execute arbitrary code.	Vulnerability
	2023-09-06 05:15:42	CVE-2023-3472 (lien direct)	Utiliser après la vulnérabilité gratuite dans Panasonic KW Watcher Versions 1.00 à 2.82 peut permettre aux attaquants d'exécuter du code arbitraire. Use after free vulnerability in Panasonic KW Watcher versions 1.00 through 2.82 may allow attackers to execute arbitrary code.	Vulnerability
	2023-09-06 05:15:42	CVE-2023-32162 (lien direct)	Pilotes Wacom pour Windows Affectation incorrecte Affectation Local Privilege Escalation Vulnérabilité.Cette vulnérabilité permet aux attaquants locaux de dégénérer les privilèges sur les installations affectées de pilotes Wacom pour Windows.Un attaquant doit d'abord obtenir la possibilité d'exécuter du code peu privilégié sur le système cible afin d'exploiter cette vulnérabilité. Le défaut spécifique existe dans la gestion du fichier wacominstalli.txt par l'utilitaire prefutil.exe.Le problème résulte des autorisations incorrectes sur le fichier wacominstalli.txt.Un attaquant peut tirer parti de cette vulnérabilité pour augmenter les privilèges et exécuter du code arbitraire dans le contexte du système.Était ZDI-CAN-16318. Wacom Drivers for Windows Incorrect Permission Assignment Local Privilege Escalation Vulnerability. This vulnerability allows local attackers to escalate privileges on affected installations of Wacom Drivers for Windows. An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability. The specific flaw exists within the handling of the WacomInstallI.txt file by the PrefUtil.exe utility. The issue results from incorrect permissions on the WacomInstallI.txt file. An attacker can leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM. Was ZDI-CAN-16318.	Vulnerability
	2023-09-06 05:15:42	CVE-2023-35719 (lien direct)	Manage AdgelService plus Gina Client Vérification insuffisante de la vulnérabilité de contournement de l'authentification de l'authentification des données.Cette vulnérabilité permet aux attaquants physiquement actuels d'exécuter du code arbitraire sur les installations affectées de ManageEngine Adfelfervice Plus.L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité. Le défaut spécifique existe dans le portail de réinitialisation du mot de passe utilisé par le client GINA.Le problème résulte de l'absence d'authentification appropriée des données reçues via HTTP.Un attaquant peut tirer parti de cette vulnérabilité pour contourner l'authentification et exécuter du code dans le contexte du système.Était ZDI-CAN-17009. ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of ManageEngine ADSelfService Plus. Authentication is not required to exploit this vulnerability. The specific flaw exists within the Password Reset Portal used by the GINA client. The issue results from the lack of proper authentication of data received via HTTP. An attacker can leverage this vulnerability to bypass authentication and execute code in the context of SYSTEM. Was ZDI-CAN-17009.	Vulnerability
	2023-09-06 05:15:42	CVE-2023-32163 (lien direct)	Pilotes Wacom pour le lien Windows après la vulnérabilité d'escalade des privilèges locaux.Cette vulnérabilité permet aux attaquants locaux de dégénérer les privilèges sur les installations affectées de pilotes Wacom pour Windows.Un attaquant doit d'abord obtenir la possibilité d'exécuter du code peu privilégié sur le système cible afin d'exploiter cette vulnérabilité. Le défaut spécifique existe dans le service de tablette.En créant un lien symbolique, un attaquant peut abuser du service pour créer un fichier.Un attaquant peut tirer parti de cette vulnérabilité pour augmenter les privilèges et exécuter du code arbitraire dans le contexte du système.Était ZDI-CAN-16857. Wacom Drivers for Windows Link Following Local Privilege Escalation Vulnerability. This vulnerability allows local attackers to escalate privileges on affected installations of Wacom Drivers for Windows. An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability. The specific flaw exists within the Tablet Service. By creating a symbolic link, an attacker can abuse the service to create a file. An attacker can leverage this vulnerability to escalate privileges and execute arbitrary code in the context of SYSTEM. Was ZDI-CAN-16857.	Vulnerability

Last update at: 2024-08-01 12:19:09
See our sources.

To see everything: Our RSS (filtrered)