SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-08-20 01:15:08	CVE-2023-40711 (lien direct)	Veilid avant 0,1.9 ne vérifie pas la taille des données non compressées lors de la décompression lors d'un reçu d'enveloppe, qui permet aux attaquants distants de provoquer un déni de service (abandon hors mémoire) via des données de paquets fabriqués, comme exploité dans la nature en août2023. Veilid before 0.1.9 does not check the size of uncompressed data during decompression upon an envelope receipt, which allows remote attackers to cause a denial of service (out-of-memory abort) via crafted packet data, as exploited in the wild in August 2023.
	2023-08-19 06:15:47	CVE-2023-2971 (lien direct)	Une mauvaise gestion de chemin dans Typora avant 1.7.0-DEV sur Windows et Linux permet à une page Web fabriquée d'accès à des fichiers locaux et de les exfiltrater aux serveurs Web distants via "Typora: // app / tymark /".Cette vulnérabilité peut être exploitée si un utilisateur ouvre un fichier de marque malveillant dans Typora, ou copie le texte d'une page Web malveillante et collez-le dans Typora. Improper path handling in Typora before 1.7.0-dev on Windows and Linux allows a crafted webpage to access local files and exfiltrate them to remote web servers via "typora://app/typemark/". This vulnerability can be exploited if a user opens a malicious markdown file in Typora, or copies text from a malicious webpage and paste it into Typora.	Vulnerability
	2023-08-19 06:15:46	CVE-2023-2317 (lien direct)	XSS basés sur Dom dans Updater / Update.html dans Typora avant 1.6.7 sur Windows et Linux permet à un fichier de marque fabriqué d'exécuter un code JavaScript arbitraire dans le contexte de la fenêtre principale Typora via le chargement de Typora: // App / TypeMark / Updater / Update.html dans la balise .Cette vulnérabilité peut être exploitée si un utilisateur ouvre un fichier de marque malveillant dans Typora, ou copie le texte d'une page Web malveillante et collez-le dans Typora. DOM-based XSS in updater/update.html in Typora before 1.6.7 on Windows and Linux allows a crafted markdown file to run arbitrary JavaScript code in the context of Typora main window via loading typora://app/typemark/updater/update.html in tag. This vulnerability can be exploited if a user opens a malicious markdown file in Typora, or copies text from a malicious webpage and paste it into Typora.	Vulnerability
	2023-08-19 06:15:46	CVE-2023-2316 (lien direct)	Une mauvaise gestion des chemins de chemin dans Typora avant 1.6.7 sur Windows et Linux permet à une page Web fabriquée d'accéder aux fichiers locaux et de les exfiltrat à des serveurs Web distants via "Typora: // app / ". Cette vulnérabilité peut être exploitée si un utilisateur ouvre un fichier de marque malveillant dans Typora, ou copie le texte d'une page Web malveillante et collez-le dans Typora. Improper path handling in Typora before 1.6.7 on Windows and Linux allows a crafted webpage to access local files and exfiltrate them to remote web servers via "typora://app/". This vulnerability can be exploited if a user opens a malicious markdown file in Typora, or copies text from a malicious webpage and paste it into Typora.	Vulnerability
	2023-08-19 06:15:46	CVE-2023-2318 (lien direct)	XSS basés sur DOM dans SRC / MUYA / LIB / ContentState / PESTERTTL.JS dans MarkText 0.17.1 et avant sur Windows, Linux et MacOS permet au code JavaScript arbitraire de s'exécuter dans le contexte de la fenêtre principale de MarkText.Cette vulnérabilité peut être exploitée si un utilisateur copie le texte d'une page Web malveillante et le coller dans MarkText. DOM-based XSS in src/muya/lib/contentState/pasteCtrl.js in MarkText 0.17.1 and before on Windows, Linux and macOS allows arbitrary JavaScript code to run in the context of MarkText main window. This vulnerability can be exploited if a user copies text from a malicious webpage and paste it into MarkText.	Vulnerability
	2023-08-19 06:15:45	CVE-2023-2110 (lien direct)	Une mauvaise gestion des chemins de chemin dans Obsidian Desktop avant 1.2.8 sur Windows, Linux et MacOS permet à une page Web fabriquée d'accéder à des fichiers locaux et de les exfiltrater aux serveurs Web distants via "App: // local / ".Cette vulnérabilité peut être exploitée si un utilisateur ouvre un fichier de marque malveillant en obsidien, ou copie le texte d'une page Web malveillante et le collez en obsidien. Improper path handling in Obsidian desktop before 1.2.8 on Windows, Linux and macOS allows a crafted webpage to access local files and exfiltrate them to remote web servers via "app://local/". This vulnerability can be exploited if a user opens a malicious markdown file in Obsidian, or copies text from a malicious webpage and paste it into Obsidian.	Vulnerability
	2023-08-19 01:15:09	CVE-2023-4433 (lien direct)	Scripting inter-site (XSS) - stocké dans le référentiel GitHub Cockpit-HQ / Cockpit avant 2.6.4. Cross-site Scripting (XSS) - Stored in GitHub repository cockpit-hq/cockpit prior to 2.6.4.
	2023-08-19 01:15:09	CVE-2023-4432 (lien direct)	Scripting inter-site (XSS) - reflété dans le référentiel GitHub Cockpit-HQ / Cockpit avant 2.6.4. Cross-site Scripting (XSS) - Reflected in GitHub repository cockpit-hq/cockpit prior to 2.6.4.
	2023-08-18 22:15:11	CVE-2023-40173 (lien direct)	Social Media Skeleton est un projet de médias sociaux inachevé / framework mis en œuvre à l'aide d'un PHP, CSS, JavaScript et HTML.Avant la version 1.0.5, le squelette des médias sociaux n'a pas correctement salé les mots de passe laissant les mots de passe utilisateur sensibles à la fissuration si un attaquant accéder aux mots de passe hachés.Ce problème a été résolu dans la version 1.0.5 et les utilisateurs sont invités à mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème. Social media skeleton is an uncompleted/framework social media project implemented using a php, css ,javascript and html. Prior to version 1.0.5 Social media skeleton did not properly salt passwords leaving user passwords susceptible to cracking should an attacker gain access to hashed passwords. This issue has been addressed in version 1.0.5 and users are advised to upgrade. There are no known workarounds for this issue.
	2023-08-18 22:15:11	CVE-2023-40175 (lien direct)	Puma est un serveur Web Ruby / Rack conçu pour le parallélisme.Avant les versions 6.3.1 et 5.6.7, PUMA a présenté un comportement incorrect lorsque l'analyse des corps en codage de transfert de transfert et des en-têtes de longueur de contenu de longueur zéro d'une manière qui a permis de demander la contrebande de demande HTTP.La gravité de ce problème dépend fortement de la nature du site Web à l'aide de PUMA.Cela pourrait être causé soit par une analyse incorrecte des champs de fuite dans des corps codants de transfert enfières ou par l'analyse des en-têtes de longueur de contenu vide / longueur zéro.Les deux problèmes ont été résolus et cette vulnérabilité a été résolu dans les versions 6.3.1 et 5.6.7.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité. Puma is a Ruby/Rack web server built for parallelism. Prior to versions 6.3.1 and 5.6.7, puma exhibited incorrect behavior when parsing chunked transfer encoding bodies and zero-length Content-Length headers in a way that allowed HTTP request smuggling. Severity of this issue is highly dependent on the nature of the web site using puma is. This could be caused by either incorrect parsing of trailing fields in chunked transfer encoding bodies or by parsing of blank/zero-length Content-Length headers. Both issues have been addressed and this vulnerability has been fixed in versions 6.3.1 and 5.6.7. Users are advised to upgrade. There are no known workarounds for this vulnerability.	Vulnerability
	2023-08-18 22:15:11	CVE-2023-40172 (lien direct)	Social Media Skeleton est un projet de médias sociaux inachevé / framework mis en œuvre à l'aide d'un PHP, CSS, JavaScript et HTML.Une attaque de contrefaçon de demande croisée (CSRF) est un type d'attaque malveillante par laquelle un attaquant incite une victime à effectuer une action sur un site Web qu'il n'a pas l'intention de faire.Cela peut être fait en envoyant à la victime un lien malveillant ou en exploitant une vulnérabilité sur le site Web.Avant la version 1.0.5, le squelette des médias sociaux ne restreint pas correctement les attaques du CSRF.Cela a été traité dans la version 1.0.5 et tous les utilisateurs sont invités à mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité. Social media skeleton is an uncompleted/framework social media project implemented using a php, css ,javascript and html. A Cross-site request forgery (CSRF) attack is a type of malicious attack whereby an attacker tricks a victim into performing an action on a website that they do not intend to do. This can be done by sending the victim a malicious link or by exploiting a vulnerability in the website. Prior to version 1.0.5 Social media skeleton did not properly restrict CSRF attacks. This has been addressed in version 1.0.5 and all users are advised to upgrade. There are no known workarounds for this vulnerability.	Vulnerability
	2023-08-18 22:15:11	CVE-2023-40174 (lien direct)	Social Media Skeleton est un projet de médias sociaux inachevé / framework mis en œuvre à l'aide d'un PHP, CSS, JavaScript et HTML.L'expiration insuffisante de la session est une vulnérabilité de sécurité d'application Web qui se produit lorsqu'une application Web ne gère pas correctement le cycle de vie d'une session de l'utilisateur \\.Les versions squelettes sur les réseaux sociaux avant 1.0.5 n'ont pas correctement limité la gestion des cycles de vie de la session utilisateur.Ce problème a été résolu dans la version 1.0.5 et les utilisateurs sont invités à mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité. Social media skeleton is an uncompleted/framework social media project implemented using a php, css ,javascript and html. Insufficient session expiration is a web application security vulnerability that occurs when a web application does not properly manage the lifecycle of a user\'s session. Social media skeleton releases prior to 1.0.5 did not properly limit manage user session lifecycles. This issue has been addressed in version 1.0.5 and users are advised to upgrade. There are no known workarounds for this vulnerability.	Vulnerability
	2023-08-18 22:15:10	CVE-2023-40037 (lien direct)	Apache NIFI 1.21.0 à 1.23.0 Prise en charge de l'accès JDBC et JNDI JMS dans plusieurs processeurs et services de contrôleur avec validation de l'URL de connexion qui ne fournit pas une protection suffisante contre les entrées conçues.Un utilisateur authentifié et autorisé peut contourner la validation de l'URL de connexion à l'aide du formatage d'entrée personnalisé.La résolution améliore la validation de l'URL de connexion et introduit la validation pour des propriétés connexes supplémentaires.La mise à niveau vers Apache NiFi 1.23.1 est l'atténuation recommandée. Apache NiFi 1.21.0 through 1.23.0 support JDBC and JNDI JMS access in several Processors and Controller Services with connection URL validation that does not provide sufficient protection against crafted inputs. An authenticated and authorized user can bypass connection URL validation using custom input formatting. The resolution enhances connection URL validation and introduces validation for additional related properties. Upgrading to Apache NiFi 1.23.1 is the recommended mitigation.
	2023-08-18 22:15:09	CVE-2023-38839 (lien direct)	La vulnérabilité de l'injection SQL dans Kidus Minimati V.1.0.0 permet à un attaquant distant d'obtenir des informations sensibles via le paramètre THEID dans le composant FullDelete.Php. SQL injection vulnerability in Kidus Minimati v.1.0.0 allows a remote attacker to obtain sensitive information via theID parameter in the fulldelete.php component.	Vulnerability
	2023-08-18 20:15:09	CVE-2023-20212 (lien direct)	Une vulnérabilité dans le module AutOIT de ClamAV pourrait permettre à un attaquant distant non authentifié de provoquer une condition de déni de service (DOS) sur un appareil affecté. Cette vulnérabilité est due à une erreur logique dans la gestion de la mémoire d'un appareil affecté.Un attaquant pourrait exploiter cette vulnérabilité en soumettant un fichier AutOIT fabriqué à analyser par Clamav sur l'appareil affecté.Un exploit réussi pourrait permettre à l'attaquant de faire redémarrer le processus de balayage de ClamAV de façon inattendue, ce qui a entraîné une condition DOS. A vulnerability in the AutoIt module of ClamAV could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition on an affected device. This vulnerability is due to a logic error in the memory management of an affected device. An attacker could exploit this vulnerability by submitting a crafted AutoIt file to be scanned by ClamAV on the affected device. A successful exploit could allow the attacker to cause the ClamAV scanning process to restart unexpectedly, resulting in a DoS condition.	Vulnerability
	2023-08-18 19:15:13	CVE-2023-4422 (lien direct)	Scripting inter-site (XSS) - stocké dans le référentiel GitHub Cockpit-HQ / Cockpit avant 2.6.3. Cross-site Scripting (XSS) - Stored in GitHub repository cockpit-hq/cockpit prior to 2.6.3.
	2023-08-18 19:15:13	CVE-2023-38910 (lien direct)	CSZ CMS 1.3.0 est vulnérable aux scripts croisés (XSS), qui permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée entrée dans la section \\ 'carrousel \' et choisissant notre widget de carrousel créé ci-dessus,Dans \\ 'Photo Url \' et \\ 'Plugin URL \' YouTube. CSZ CMS 1.3.0 is vulnerable to cross-site scripting (XSS), which allows attackers to execute arbitrary web scripts or HTML via a crafted payload entered in the \'Carousel Wiget\' section and choosing our carousel widget created above, in \'Photo URL\' and \'YouTube URL\' plugin.
	2023-08-18 19:15:13	CVE-2023-38911 (lien direct)	Une vulnérabilité de script inter-sites (XSS) dans CSZ CMS 1.3.0 permet aux attaquants d'exécuter du code arbitraire via une charge utile fabriquée au paramètre de la galerie dans les champs URL YouTube. A Cross-Site Scripting (XSS) vulnerability in CSZ CMS 1.3.0 allows attackers to execute arbitrary code via a crafted payload to the Gallery parameter in the YouTube URL fields.	Vulnerability
	2023-08-18 19:15:12	CVE-2023-38890 (lien direct)	Le projet de portail d'achat en ligne 3.1 permet aux attaquants distants d'exécuter des commandes / requêtes SQL arbitraires via le formulaire de connexion, conduisant à un accès non autorisé et à une manipulation potentielle des données.Cette vulnérabilité survient en raison de la validation insuffisante des entrées fournies par l'utilisateur dans le champ du nom d'utilisateur, permettant des attaques d'injection SQL. Online Shopping Portal Project 3.1 allows remote attackers to execute arbitrary SQL commands/queries via the login form, leading to unauthorized access and potential data manipulation. This vulnerability arises due to insufficient validation of user-supplied input in the username field, enabling SQL Injection attacks.	Vulnerability
	2023-08-18 19:15:12	CVE-2023-27471 (lien direct)	Un problème a été découvert dans Insyde Insydeh2o avec le noyau 5.0 à 5.5.Les implémentations UEFI ne protègent pas et ne valident pas correctement les informations contenues dans la variable \\ 'MESETUP \' UEFI.Sur certains systèmes, cette variable peut être écrasée à l'aide d'API du système d'exploitation.L'exploitation de cette vulnérabilité pourrait potentiellement conduire au déni de service pour la plate-forme. An issue was discovered in Insyde InsydeH2O with kernel 5.0 through 5.5. UEFI implementations do not correctly protect and validate information contained in the \'MeSetup\' UEFI variable. On some systems, this variable can be overwritten using operating system APIs. Exploitation of this vulnerability could potentially lead to denial of service for the platform.	Vulnerability
	2023-08-18 16:15:11	CVE-2023-4415 (lien direct)	Une vulnérabilité a été trouvée dans Ruijie RG-EW1200G 07161417 R483.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier / api / sys / connexion.La manipulation conduit à une mauvaise authentification.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-237518 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière. A vulnerability was found in Ruijie RG-EW1200G 07161417 r483. It has been rated as critical. Affected by this issue is some unknown functionality of the file /api/sys/login. The manipulation leads to improper authentication. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-237518 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-08-18 16:15:11	CVE-2023-4414 (lien direct)	Une vulnérabilité a été trouvée dans la plate-forme de gestion Baichuo Smart S85F de Baichuo jusqu'en 20230807. Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier /log/decodmail.php.La manipulation du fichier d'argument conduit à l'injection de commande.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-237517 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière. A vulnerability was found in Beijing Baichuo Smart S85F Management Platform up to 20230807. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /log/decodmail.php. The manipulation of the argument file leads to command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-237517 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-08-18 16:15:10	CVE-2023-32122 (lien direct)	Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans les plugins Spiffy Plugins Spiffy Calendar Plugin	Vulnerability
	2023-08-18 16:15:10	CVE-2023-32130 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Multi-note de Daniel Powney	Vulnerability
	2023-08-18 15:15:10	CVE-2023-4412 (lien direct)	Une vulnérabilité a été trouvée dans Totolink EX1200L EN_V9.3.5U.6146_B20201023 et classifiée comme critique.Ce problème affecte la fonction setwancfg.La manipulation conduit à l'injection de commandement du système d'exploitation.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-237515.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière. A vulnerability was found in TOTOLINK EX1200L EN_V9.3.5u.6146_B20201023 and classified as critical. This issue affects the function setWanCfg. The manipulation leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-237515. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-08-18 15:15:10	CVE-2023-32109 (lien direct)	Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Ignazio Scimone Albo Pretorio On Line Plugin	Vulnerability
	2023-08-18 15:15:10	CVE-2023-32108 (lien direct)	Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Ignazio Scimone Albo Pretorio On Line Plugin	Vulnerability
	2023-08-18 15:15:10	CVE-2023-4413 (lien direct)	Une vulnérabilité a été trouvée dans Rkhunter Rootkit Hunter 1.4.4 / 1.4.6.Il a été classé comme problématique.Affecté est une fonction inconnue du fichier /var/log/rkhunter.log.La manipulation conduit à des informations sensibles dans les fichiers journaux.Une attaque doit être approchée localement.La complexité d'une attaque est plutôt élevée.L'exploitabilité est dite difficile.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-237516. A vulnerability was found in rkhunter Rootkit Hunter 1.4.4/1.4.6. It has been classified as problematic. Affected is an unknown function of the file /var/log/rkhunter.log. The manipulation leads to sensitive information in log files. An attack has to be approached locally. The complexity of an attack is rather high. The exploitability is told to be difficult. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-237516.	Vulnerability
	2023-08-18 15:15:09	CVE-2023-30499 (lien direct)	Unauth.Vulnérabilité réfléchie du script croisé (XSS) dans Foliovision FV FlowPlayer Video Player Plugin	Vulnerability
	2023-08-18 15:15:09	CVE-2023-29387 (lien direct)	Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Julien Crego Manager pour IComoon Plugin	Vulnerability
	2023-08-18 15:15:09	CVE-2023-27576 (lien direct)	Un problème a été découvert dans PHPLIST 3.6.12.En raison d'une erreur d'accès, il a été possible de manipuler et de modifier les données du super administrateur du System \\, permettant d'effectuer une prise de contrôle de compte de l'utilisateur avec une autorisation de super-administration. An issue was discovered in phpList 3.6.12. Due to an access error, it was possible to manipulate and edit data of the system\'s super admin, allowing one to perform an account takeover of the user with super-admin permission.
	2023-08-18 14:15:35	CVE-2023-4411 (lien direct)	Une vulnérabilité a été trouvée dans Totolink EX1200L EN_V9.3.5U.6146_B20201023 et classifiée comme critique.Cette vulnérabilité affecte la fonction settraceroutoutecfg.La manipulation conduit à l'injection de commandement du système d'exploitation.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-237514 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière. A vulnerability has been found in TOTOLINK EX1200L EN_V9.3.5u.6146_B20201023 and classified as critical. This vulnerability affects the function setTracerouteCfg. The manipulation leads to os command injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-237514 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-08-18 14:15:34	CVE-2023-4410 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Totolink EX1200L EN_V9.3.5U.6146_B20201023.Cela affecte la fonction setDiagnosiscfg.La manipulation conduit à l'injection de commandement du système d'exploitation.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-237513 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière. A vulnerability, which was classified as critical, was found in TOTOLINK EX1200L EN_V9.3.5u.6146_B20201023. This affects the function setDiagnosisCfg. The manipulation leads to os command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-237513 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
	2023-08-18 14:15:23	CVE-2023-32107 (lien direct)	Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans la galerie de photos Galerie de photos de l'équipe par Ays & acirc; & euro; & ldquo;Plugin de galerie d'images réactive	Vulnerability
	2023-08-18 14:15:22	CVE-2023-32103 (lien direct)	Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin d'éducation TP TP à thème	Vulnerability
	2023-08-18 14:15:22	CVE-2023-32106 (lien direct)	Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Fahad Mahmood WP Docs Plugin	Vulnerability
	2023-08-18 14:15:22	CVE-2023-32105 (lien direct)	Unauth.Vulnérabilité des scripts croisés (XSS) réfléchis dans Ollybach Wppizza & acirc; & euro; & ldquo;Un plugin de plugin de restaurant	Vulnerability
	2023-08-18 14:15:22	CVE-2023-31232 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de liste des plugins David Artiss	Vulnerability
	2023-08-18 14:15:22	CVE-2023-31218 (lien direct)	La contrefaçon de demande de site transversal (CSRF) conduisant à une vulnérabilité de script inter-site stockée (XSS) dans RealMag777 Wolf & acirc; & euro; & ldquo;WordPress Posts Editor Bulk Editor and Manager Plugin professionnel	Vulnerability
	2023-08-18 13:15:09	CVE-2023-31094 (lien direct)	Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans la synchronisation du stock de trio Lauri Karisola / WP pour le plugin WooCommerce	Vulnerability
	2023-08-18 13:15:09	CVE-2023-31228 (lien direct)	Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans Creative Minds Solutions Com On Demand Recherche et remplacer le plugin	Vulnerability
	2023-08-18 13:15:09	CVE-2023-4409 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans NBS & AMP; HappySoftwechat 1.1.6.Ce problème est une fonctionnalité inconnue.La manipulation conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-237512. A vulnerability, which was classified as critical, has been found in NBS&HappySoftWeChat 1.1.6. Affected by this issue is some unknown functionality. The manipulation leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-237512.	Vulnerability
	2023-08-18 13:15:09	CVE-2023-4407 (lien direct)	Une vulnérabilité classée comme critique a été trouvée dans Codecanyon Credit Lite 1.5.4.Cette vulnérabilité est une fonctionnalité inconnue du fichier / portail / reportages / compte_statement du gestionnaire de demande de post de composant.La manipulation de l'argument Date1 / Date2 conduit à l'injection SQL.L'attaque peut être lancée à distance.L'identifiant associé de cette vulnérabilité est VDB-237511. A vulnerability classified as critical was found in Codecanyon Credit Lite 1.5.4. Affected by this vulnerability is an unknown functionality of the file /portal/reports/account_statement of the component POST Request Handler. The manipulation of the argument date1/date2 leads to sql injection. The attack can be launched remotely. The associated identifier of this vulnerability is VDB-237511.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-39944 (lien direct)	Vulnérabilité d'injection de commande OS dans WRC-F1167ACF Toutes les versions et WRC-1750GHBK Toutes les versions permettent à un attaquant qui peut accéder au produit pour exécuter une commande OS arbitraire en envoyant une demande spécialement conçue. OS command injection vulnerability in WRC-F1167ACF all versions, and WRC-1750GHBK all versions allows an attacker who can access the product to execute an arbitrary OS command by sending a specially crafted request.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-39455 (lien direct)	La vulnérabilité d'injection de commande OS dans les routeurs LAN sans fil Elecom permet à un utilisateur authentifié d'exécuter une commande OS arbitraire en envoyant une demande spécialement conçue.Les produits et versions affectés sont les suivants: WRC-600GHBK-A toutes les versions, WRC-1467GHBK-A toutes les versions, WRC-1900GHBK-A TOUTES les versions, WRC-733FEBK2-A toutes les versions, WRC-F1167ACF2 ToutesS toutes les versions et WRC-1900GHBK-S toutes les versions. OS command injection vulnerability in ELECOM wireless LAN routers allows an authenticated user to execute an arbitrary OS command by sending a specially crafted request. Affected products and versions are as follows: WRC-600GHBK-A all versions, WRC-1467GHBK-A all versions, WRC-1900GHBK-A all versions, WRC-733FEBK2-A all versions, WRC-F1167ACF2 all versions, WRC-1467GHBK-S all versions, and WRC-1900GHBK-S all versions.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-39454 (lien direct)	La vulnérabilité de débordement de tampon dans WRC-X1800GS-B V1.13 et plus tôt, WRC-X1800GSA-B V1.13 et plus tôt, et WRC-X1800GSH-B V1.13 et plus tôt permet à un attaquant non authentifié d'exécuter un code arbitraire. Buffer overflow vulnerability in WRC-X1800GS-B v1.13 and earlier, WRC-X1800GSA-B v1.13 and earlier, and WRC-X1800GSH-B v1.13 and earlier allows an unauthenticated attacker to execute arbitrary code.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-39445 (lien direct)	La vulnérabilité des fonctionnalités cachées dans LAN-wh300n / re, toutes les versions fournies par Logitec Corporation permet à un attaquant non authentifié d'exécuter du code arbitraire en envoyant un fichier spécialement conçu à la console de gestion du produit \\. Hidden functionality vulnerability in LAN-WH300N/RE all versions provided by LOGITEC CORPORATION allows an unauthenticated attacker to execute arbitrary code by sending a specially crafted file to the product\'s certain management console.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-40069 (lien direct)	La vulnérabilité d'injection de commande OS dans les routeurs LAN sans fil Elecom permet à un attaquant qui peut accéder au produit pour exécuter une commande de système d'exploitation arbitraire en envoyant une demande spécialement conçue.Les produits et versions affectés sont les suivants: WRC-F1167ACF Toutes les versions, WRC-1750GHBK Toutes les versions, WRC-1167GHBK2 Toutes les versions, WRC-1750GHBK2-I toutes les versions et WRC-1750GHBK-E toutes les versions. OS command injection vulnerability in ELECOM wireless LAN routers allows an attacker who can access the product to execute an arbitrary OS command by sending a specially crafted request. Affected products and versions are as follows: WRC-F1167ACF all versions, WRC-1750GHBK all versions, WRC-1167GHBK2 all versions, WRC-1750GHBK2-I all versions, and WRC-1750GHBK-E all versions.	Vulnerability
	2023-08-18 10:15:12	CVE-2023-40072 (lien direct)	Vulnérabilité d'injection de commande OS dans toutes les versions WAB-S600-PS, et WAB-S300 Toutes les versions permettent à un utilisateur authentifié d'exécuter une commande OS arbitraire en envoyant une demande spécialement conçue. OS command injection vulnerability in WAB-S600-PS all versions, and WAB-S300 all versions allows an authenticated user to execute an arbitrary OS command by sending a specially crafted request.	Vulnerability
	2023-08-18 10:15:11	CVE-2023-38576 (lien direct)	La vulnérabilité des fonctionnalités cachées dans LAN-wh300n / re, toutes les versions fournies par Logitec Corporation permet à un utilisateur authentifié d'exécuter des commandes de système d'exploitation arbitraires sur une certaine console de gestion. Hidden functionality vulnerability in LAN-WH300N/RE all versions provided by LOGITEC CORPORATION allows an authenticated user to execute arbitrary OS commands on a certain management console.	Vulnerability

Last update at: 2024-07-20 01:08:19
See our sources.

To see everything: Our RSS (filtrered)