SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-08-30 15:15:09	CVE-2023-3356 (lien direct)	Le plugin WordPress Subscribers Text Counter avant 1.7.1 n'a pas de vérification CSRF en place lors de la mise à jour de ses paramètres, ce qui pourrait permettre à des attaquants de forcer un administrateur connecté à les modifier via une attaque CSRF, ce qui conduit également à des scripts intersites stockés en raison dele manque de désinfection et d'évasion The Subscribers Text Counter WordPress plugin before 1.7.1 does not have CSRF check in place when updating its settings, which could allow attackers to make a logged in admin change them via a CSRF attack, which also lead to Stored Cross-Site Scripting due to the lack of sanitisation and escaping
	2023-08-30 15:15:09	CVE-2023-4150 (lien direct)	Le plugin WordPress de suivi de l'activité utilisateur et de journalisation avant 4.0.9 ne dispose pas de contrôles CSRF appropriés lors de la gestion de sa licence, ce qui pourrait permettre aux attaquants de mettre à jour les administrateurs connectés et de désactiver la licence du plugin via des attaques CSRF. The User Activity Tracking and Log WordPress plugin before 4.0.9 does not have proper CSRF checks when managing its license, which could allow attackers to make logged in admins update and deactivate the plugin\'s license via CSRF attacks
	2023-08-30 15:15:09	CVE-2023-4109 (lien direct)	Le plugin WordPress Ninja Forms Contact Form Ninja Forms avant la version 3.6.26 était affecté par une vulnérabilité de sécurité d'injection HTML. The Ninja Forms WordPress Ninja Forms Contact Form WordPress plugin before 3.6.26 was affected by a HTML Injection security vulnerability.
	2023-08-30 15:15:09	CVE-2023-4036 (lien direct)	Le plugin WordPress Simple Blog Card avant 1.32 ne garantit pas que les publications à afficher via un shortcode sont publiques, permettant à tout utilisateur authentifié, tel qu'un abonné, de récupérer un titre de publication arbitraire et son contenu tel que des brouillons, privés et protégés par mot de passe. The Simple Blog Card WordPress plugin before 1.32 does not ensure that posts to be displayed via a shortcode are public, allowing any authenticated users, such as subscriber, to retrieve arbitrary post title and their content such as draft, private and password protected ones
	2023-08-30 15:15:09	CVE-2023-4035 (lien direct)	Le plugin WordPress Simple Blog Card avant 1.31 ne valide pas et n'échappe pas à certains de ses attributs de shortcode avant de les afficher dans une page/article où le shortcode est intégré, ce qui pourrait permettre aux utilisateurs ayant le rôle de contributeur et supérieur d'effectuer des scripts intersites stockés.attaques The Simple Blog Card WordPress plugin before 1.31 does not validate and escape some of its shortcode attributes before outputting them back in a page/post where the shortcode is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks
	2023-08-30 15:15:09	CVE-2023-4023 (lien direct)	Le plugin WordPress All Users Messenger jusqu'à la version 1.24 n'empêche pas les utilisateurs non-administrateurs de supprimer les messages de la messagerie pour tous les utilisateurs. The All Users Messenger WordPress plugin through 1.24 does not prevent non-administrator users from deleting messages from the all-users messenger.
	2023-08-30 15:15:09	CVE-2023-4013 (lien direct)	Le plugin WordPress de conformité aux cookies RGPD (CCPA, DSGVO, Cookie Consent) avant 4.12.5 ne dispose pas de contrôles CSRF appropriés lors de la gestion de sa licence, ce qui pourrait permettre aux attaquants de mettre à jour les administrateurs connectés et de désactiver la licence du plugin via CSRF.attaques The GDPR Cookie Compliance (CCPA, DSGVO, Cookie Consent) WordPress plugin before 4.12.5 does not have proper CSRF checks when managing its license, which could allow attackers to make logged in admins update and deactivate the plugin\'s license via CSRF attacks
	2023-08-30 15:15:09	CVE-2023-3992 (lien direct)	Le plugin PostX WordPress avant 3.0.6 ne nettoie pas et n'échappe pas à un paramètre avant de le réafficher dans la page, ce qui conduit à un script intersite réfléchi qui pourrait être utilisé contre des utilisateurs à privilèges élevés tels que l'administrateur. The PostX WordPress plugin before 3.0.6 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
	2023-08-30 15:15:09	CVE-2023-3501 (lien direct)	Le plugin FormCraft WordPress antérieur à la version 1.2.7 ne nettoie pas et n'échappe pas à certains de ses paramètres, ce qui pourrait permettre à des utilisateurs dotés de privilèges élevés tels que l'administrateur d'effectuer des attaques de type Stored Cross-Site Scripting même lorsque la fonctionnalité unfiltered_html est interdite (par exemple dans une configuration multisite). The FormCraft WordPress plugin before 1.2.7 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup).
	2023-08-30 15:15:09	CVE-2023-34173 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 15:15:09	CVE-2023-34172 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 15:15:08	CVE-2023-34032 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 15:15:08	CVE-2022-1601 (lien direct)	Le plugin WordPress User Access Manager avant 2.2.18 donne la priorité à l'obtention de l'adresse IP d'un visiteur à partir de certains en-têtes HTTP plutôt que de REMOTE_ADDR de PHP, ce qui permet aux attaquants d'accéder à du contenu restreint dans certaines situations. The User Access Manager WordPress plugin before 2.2.18 prioritizes getting a visitor\'s IP from certain HTTP headers over PHP\'s REMOTE_ADDR, which makes it possible for attackers to access restricted content in certain situations.
	2023-08-30 15:15:08	CVE-2023-1982 (lien direct)	Le plugin WordPress Front Editor jusqu'à la version 4.0.4 ne nettoie pas et n'échappe pas à certains de ses paramètres de formulaire, ce qui pourrait permettre aux utilisateurs disposant de privilèges élevés d'effectuer des attaques de type Stored Cross-Site Scripting même lorsque la fonctionnalité unfiltered_html est interdite (par exemple dans une configuration multisite) The Front Editor WordPress plugin through 4.0.4 does not sanitize and escape some of its form settings, which could allow high-privilege users to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup)
	2023-08-30 15:15:08	CVE-2023-34008 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 15:15:08	CVE-2023-34004 (lien direct)	Auth.(contributeur+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 15:15:08	CVE-2023-34023 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 15:15:08	CVE-2023-34022 (lien direct)	Annuler l'authentification.Vulnérabilité XSS (Reflected Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 14:15:11	CVE-2023-41538 (lien direct)	phpjabbers PHP Forum Script 3.0 est vulnérable au Cross Site Scripting (XSS) via le paramètre mot-clé. phpjabbers PHP Forum Script 3.0 is vulnerable to Cross Site Scripting (XSS) via the keyword parameter.
	2023-08-30 14:15:11	CVE-2023-41539 (lien direct)	phpjabbers Business Directory Script 3.2 est vulnérable à l'injection SQL via le paramètre column. phpjabbers Business Directory Script 3.2 is vulnerable to SQL Injection via the column parameter.
	2023-08-30 14:15:10	CVE-2023-34187 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 14:15:10	CVE-2023-41537 (lien direct)	phpjabbers Business Directory Script 3.2 est vulnérable au Cross Site Scripting (XSS) via le paramètre mot-clé. phpjabbers Business Directory Script 3.2 is vulnerable to Cross Site Scripting (XSS) via the keyword parameter.
	2023-08-30 14:15:09	CVE-2023-34176 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 14:15:09	CVE-2023-34175 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 14:15:09	CVE-2023-34183 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 14:15:09	CVE-2023-34184 (lien direct)	Annuler l'authentification.Vulnérabilité XSS (Reflected Cross-Site Scripting) dans Bhavik Patel Woocommerce Adresse de commande Plugin d'impression	Vulnerability
	2023-08-30 14:15:09	CVE-2023-34180 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 14:15:08	CVE-2023-34174 (lien direct)	Annuler l'authentification.Vulnérabilité XSS (Reflected Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 13:15:15	CVE-2023-4624 (lien direct)	Server-Side Request Forgery (SSRF) dans le référentiel GitHub bookstackapp/bookstack avant la version 23.08. Server-Side Request Forgery (SSRF) in GitHub repository bookstackapp/bookstack prior to v23.08.
	2023-08-30 13:15:15	CVE-2023-41563 (lien direct)	Il a été découvert que Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 contenaient un débordement de pile via le paramètre mac à l'url /goform/GetParentControlInfo. Tenda AC9 V3.0 V15.03.06.42_multi and Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter mac at url /goform/GetParentControlInfo.
	2023-08-30 13:15:14	CVE-2023-41562 (lien direct)	Il a été découvert que Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 contenaient un débordement de pile via le paramètre time à l'url /goform/PowerSaveSet. Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi, and Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter time at url /goform/PowerSaveSet.
	2023-08-30 13:15:14	CVE-2023-41561 (lien direct)	Il a été découvert que Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 contenaient un débordement de pile via les paramètres startIp et endIp à l'url /goform/SetPptpServerCfg. Tenda AC9 V3.0 V15.03.06.42_multi and Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter startIp and endIp at url /goform/SetPptpServerCfg.
	2023-08-30 13:15:14	CVE-2023-41558 (lien direct)	Tenda AC7 V1.0 V15.03.06.44 a été découvert comme contenant un débordement de pile via le paramètre timeZone à l'url /goform/SetSysTimeCfg. Tenda AC7 V1.0 V15.03.06.44 was discovered to contain a stack overflow via parameter timeZone at url /goform/SetSysTimeCfg.
	2023-08-30 13:15:14	CVE-2023-41559 (lien direct)	Il a été découvert que Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 V1.0RTL_V15.03.06.28 contenaient un débordement de pile via la page de paramètres à l'URL /goform/NatStaticSetting. Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi, and Tenda AC5 V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter page at url /goform/NatStaticSetting.
	2023-08-30 13:15:14	CVE-2023-41557 (lien direct)	Il a été découvert que Tenda AC7 V1.0 V15.03.06.44 et Tenda AC5 V1.0RTL_V15.03.06.28 contenaient un débordement de pile via les entrées de paramètres et mitInterface à l'url /goform/addressNat. Tenda AC7 V1.0 V15.03.06.44 and Tenda AC5 V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter entrys and mitInterface at url /goform/addressNat.
	2023-08-30 13:15:14	CVE-2023-41560 (lien direct)	Tenda AC9 V3.0 V15.03.06.42_multi a été découvert comme contenant un débordement de pile via le paramètre firewallEn à l'url /goform/SetFirewallCfg. Tenda AC9 V3.0 V15.03.06.42_multi was discovered to contain a stack overflow via parameter firewallEn at url /goform/SetFirewallCfg.
	2023-08-30 13:15:13	CVE-2023-41552 (lien direct)	Il a été découvert que Tenda AC7 V1.0 V15.03.06.44 et Tenda AC9 V3.0 V15.03.06.42_multi contenaient un débordement de pile via le paramètre ssid à l'url /goform/fast_setting_wifi_set. Tenda AC7 V1.0 V15.03.06.44 and Tenda AC9 V3.0 V15.03.06.42_multi were discovered to contain a stack overflow via parameter ssid at url /goform/fast_setting_wifi_set.
	2023-08-30 13:15:13	CVE-2023-41556 (lien direct)	Il a été découvert que Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 V1.0RTL_V15.03.06.28 contenaient un débordement de pile via la liste de paramètres à l'url /goform/SetIpMacBind. Tenda AC7 V1.0 V15.03.06.44, Tenda AC9 V3.0 V15.03.06.42_multi, and Tenda AC5 V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter list at url /goform/SetIpMacBind.
	2023-08-30 13:15:13	CVE-2023-41555 (lien direct)	Tenda AC7 V1.0 V15.03.06.44 a été découvert comme contenant un débordement de pile via le paramètre security_5g à l'url /goform/WifiBasicSet. Tenda AC7 V1.0 V15.03.06.44 was discovered to contain a stack overflow via parameter security_5g at url /goform/WifiBasicSet.
	2023-08-30 13:15:13	CVE-2023-41554 (lien direct)	Tenda AC9 V3.0 V15.03.06.42_multi a été découvert comme contenant un débordement de pile via le paramètre wpapsk_crypto à l'url /goform/WifiExtraSet. Tenda AC9 V3.0 V15.03.06.42_multi was discovered to contain a stack overflow via parameter wpapsk_crypto at url /goform/WifiExtraSet.
	2023-08-30 13:15:13	CVE-2023-41553 (lien direct)	Il a été découvert que Tenda AC9 V3.0 V15.03.06.42_multi et Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 contenaient un débordement de pile via la liste de paramètres à l'url /goform/SetStaticRouteCfg. Tenda AC9 V3.0 V15.03.06.42_multi and Tenda AC5 US_AC5V1.0RTL_V15.03.06.28 were discovered to contain a stack overflow via parameter list at url /goform/SetStaticRouteCfg.
	2023-08-30 13:15:12	CVE-2023-33929 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 13:15:12	CVE-2023-33325 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions Teplitsa du plugin Leyka des technologies sociales	Vulnerability
	2023-08-30 13:15:12	CVE-2023-33320 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions du plugin Mohammad I. Okfie WP-Hijri	Vulnerability
	2023-08-30 13:15:12	CVE-2023-33317 (lien direct)	Annuler l'authentification.Vulnérabilité de Cross-Site Scripting (XSS) reflétée dans les versions	Vulnerability
	2023-08-30 13:15:11	CVE-2023-33210 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 13:15:11	CVE-2023-27426 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 13:15:11	CVE-2023-33208 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 13:15:10	CVE-2023-25462 (lien direct)	Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions	Vulnerability
	2023-08-30 12:15:09	CVE-2023-32793 (lien direct)	Auth.(contributeur+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans le plugin WooCommerce WooCommerce Pre-Orders	Vulnerability

Last update at: 2024-07-19 23:07:22
See our sources.

To see everything: Our RSS (filtrered)