What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-08-08 07:15:10 | CVE-2023-3569 (lien direct) | Dans Phoenix Contacts TC Router et TC Cloud Client dans les versions avant 2.07.2 ainsi que Cloud Client 1101T-TX / TX avant 2.06.10 Un attaquant distant authentifié avec les privilèges d'administration pourrait télécharger un fichier XML conçu qui provoque un déni de déni de déni de déni-service.
In PHOENIX CONTACTs TC ROUTER and TC CLOUD CLIENT in versions prior to 2.07.2 as well as CLOUD CLIENT 1101T-TX/TX prior to 2.06.10 an authenticated remote attacker with admin privileges could upload a crafted XML file which causes a denial-of-service. |
Cloud | ||
|
2023-08-08 07:15:10 | CVE-2023-3526 (lien direct) | Dans Phoenix Contacts TC Router et TC Cloud Client dans les versions avant 2.07.2 ainsi que Cloud Client 1101T-TX / TX Avant 2.06.10 Un attaquant distant non authentifié pourrait utiliser un XSS réfléchissant dans la page de la visionneuse de licence des périphériques dans l'ordre dans l'ordrePour exécuter du code dans le contexte du navigateur de l'utilisateur \\.
In PHOENIX CONTACTs TC ROUTER and TC CLOUD CLIENT in versions prior to 2.07.2 as well as CLOUD CLIENT 1101T-TX/TX prior to 2.06.10 an unauthenticated remote attacker could use a reflective XSS within the license viewer page of the devices in order to execute code in the context of the user\'s browser. |
Cloud | ||
|
2023-08-08 01:15:19 | CVE-2023-39439 (lien direct) | SAP Commerce Cloud peut accepter une phrase de passe vide pour l'ID utilisateur et l'authentification en phrase de passe, permettant aux utilisateurs de se connecter au système sans phrase de passe.
SAP Commerce Cloud may accept an empty passphrase for user ID and passphrase authentication, allowing users to log into the system without a passphrase. |
Cloud | ||
|
2023-08-07 20:15:09 | CVE-2023-39520 (lien direct) | Cryptomator chiffre les données stockées sur l'infrastructure cloud.Le programme d'installation MSI fourni sur la page d'accueil pour Cryptomator version 1.9.2 permet l'escalade locale de privilèges pour les utilisateurs privilégiés faibles, via la fonction «Réparation».Le problème se produit car la fonction de réparation du MSI repousse un système de puissance du système sans le paramètre «-Noprofile».Par conséquent, le profil de l'utilisateur commençant la réparation sera chargé.La version 1.9.3 contient un correctif pour ce problème.L'ajout d'un `-noprofile» au PowerShell est une solution de contournement possible.
Cryptomator encrypts data being stored on cloud infrastructure. The MSI installer provided on the homepage for Cryptomator version 1.9.2 allows local privilege escalation for low privileged users, via the `repair` function. The problem occurs as the repair function of the MSI is spawning an SYSTEM Powershell without the `-NoProfile` parameter. Therefore the profile of the user starting the repair will be loaded. Version 1.9.3 contains a fix for this issue. Adding a `-NoProfile` to the powershell is a possible workaround. |
Cloud | ||
|
2023-08-04 18:15:14 | CVE-2023-38692 (lien direct) | CloudExplorer Lite est une plate-forme de gestion des nuages open source et légère.Les versions avant 1.3.1 contiennent une vulnérabilité d'injection de commande dans la fonction d'installation dans la gestion des modules.La vulnérabilité a été fixée dans la V1.3.1.Il n'y a pas de solution de contournement connue en plus de la mise à niveau.
CloudExplorer Lite is an open source, lightweight cloud management platform. Versions prior to 1.3.1 contain a command injection vulnerability in the installation function in module management. The vulnerability has been fixed in v1.3.1. There are no known workarounds aside from upgrading. |
Cloud Vulnerability | ||
|
2023-08-04 16:15:10 | CVE-2023-38494 (lien direct) | Metersphere est une plate-forme de test continue open source.Avant la version 2.10.4 LTS, certaines interfaces de la version cloud de Metersphere n'ont pas d'autorisations de configuration et sont divulguées avec sensibilité par les attaquants.La version 2.10.4 LTS contient un correctif pour ce problème.
MeterSphere is an open-source continuous testing platform. Prior to version 2.10.4 LTS, some interfaces of the Cloud version of MeterSphere do not have configuration permissions, and are sensitively leaked by attackers. Version 2.10.4 LTS contains a patch for this issue. |
Cloud | ||
|
2023-08-03 18:15:11 | CVE-2023-32764 (lien direct) | Fabasoft Cloud Enterprise Client 23.3.0.130 permet à un utilisateur de dégénérer ses privilèges à l'administrateur local.
Fabasoft Cloud Enterprise Client 23.3.0.130 allows a user to escalate their privileges to local administrator. |
Cloud | ||
|
2023-08-02 14:15:10 | CVE-2023-26316 (lien direct) | Une vulnérabilité XSS existe dans le produit d'application de service cloud Xiaomi.La vulnérabilité est causée par la fonction de vérification de la liste blanche de WebView \\ permettant le chargement du protocole JavaScript et peut être exploitée par les attaquants pour voler les cookies du compte de service cloud Xiaomi \\.
A XSS vulnerability exists in the Xiaomi cloud service Application product. The vulnerability is caused by Webview\'s whitelist checking function allowing javascript protocol to be loaded and can be exploited by attackers to steal Xiaomi cloud service account\'s cookies. |
Cloud Vulnerability | ||
|
2023-07-27 19:15:10 | CVE-2023-38495 (lien direct) | Crossplane est un cadre pour construire des plans de contrôle natifs de cloud sans avoir besoin d'écrire de code.Dans les versions antérieures à 1.11.5, 1.12.3 et 1.13.0, le backend d'image de Crossplan \\ ne valide pas le contenu des octets des packages de circulation transversale.En tant que tel, Crossplane ne détecte pas si un attaquant a falsifié un package.Le problème a été résolu en 1.11.5, 1.12.3 et 1.13.0.En tant que solution de contournement, utilisez uniquement des images provenant de sources de confiance et conservez uniquement les privilèges d'édition / création de packages aux administrateurs.
Crossplane is a framework for building cloud native control planes without needing to write code. In versions prior to 1.11.5, 1.12.3, and 1.13.0, Crossplane\'s image backend does not validate the byte contents of Crossplane packages. As such, Crossplane does not detect if an attacker has tampered with a Package. The problem has been fixed in 1.11.5, 1.12.3 and 1.13.0. As a workaround, only use images from trusted sources and keep Package editing/creating privileges to administrators only. |
Cloud | ||
|
2023-07-27 16:15:10 | CVE-2023-37900 (lien direct) | Crossplane est un cadre pour construire des plans de contrôle natifs de cloud sans avoir besoin d'écrire de code.Dans les versions antérieures à 1.11.5, 1.12.3 et 1.13.0, un utilisateur très privilégié pourrait créer un package faisant référence à une image arbitrairement grande contenant ce flux transversal, entraînant peut-être à l'épuiser toute la mémoire disponible et donc dans le dans leconteneur étant oomkilled.L'impact est limité en raison des privilèges élevés nécessaires pour pouvoir créer le package et la nature de cohérence éventuellement du contrôleur.Ce problème est résolu dans les versions 1.11.5, 1.12.3 et 1.13.0.
Crossplane is a framework for building cloud native control planes without needing to write code. In versions prior to 1.11.5, 1.12.3, and 1.13.0, a high-privileged user could create a Package referencing an arbitrarily large image containing that Crossplane would then parse, possibly resulting in exhausting all the available memory and therefore in the container being OOMKilled. The impact is limited due to the high privileges required to be able to create the Package and the eventually consistency nature of controller. This issue is fixed in versions 1.11.5, 1.12.3, and 1.13.0. |
Cloud | ||
|
2023-07-25 19:15:11 | CVE-2023-36826 (lien direct) | Sentry est une plate-forme de suivi des erreurs et de surveillance des performances.Commençant dans la version 8.21.0 et avant la version 23.5.2, un utilisateur authentifié peut télécharger un bundle de débogage ou d'artefact à partir d'organisations arbitraires et de projets avec un ID de bundle connu.L'utilisateur n'a pas besoin d'être membre de l'organisation ou d'avoir des autorisations sur le projet.Un correctif a été émis dans la version 23.5.2 pour s'assurer que les vérifications d'autorisation sont correctement portée sur les demandes de récupération de débogage ou de faisceaux d'artefacts.Les utilisateurs authentifiés qui n'ont pas les autorisations nécessaires sur le projet particulier ne peuvent plus les télécharger.Les utilisateurs de Sentry SaaS n'ont pas besoin de prendre aucune mesure.Les utilisateurs de Sentry auto-hébergés doivent passer à la version 23.5.2 ou plus.
Sentry is an error tracking and performance monitoring platform. Starting in version 8.21.0 and prior to version 23.5.2, an authenticated user can download a debug or artifact bundle from arbitrary organizations and projects with a known bundle ID. The user does not need to be a member of the organization or have permissions on the project. A patch was issued in version 23.5.2 to ensure authorization checks are properly scoped on requests to retrieve debug or artifact bundles. Authenticated users who do not have the necessary permissions on the particular project are no longer able to download them. Sentry SaaS users do not need to take any action. Self-Hosted Sentry users should upgrade to version 23.5.2 or higher. |
Cloud | ||
|
2023-07-21 21:15:11 | CVE-2023-37918 (lien direct) | Le DAPR est un runtime portable et motivé par des événements pour la construction d'applications distribuées à travers le cloud et le bord.Une vulnérabilité a été trouvée dans DAPR qui permet de contourner l'authentification des jetons API, qui est utilisé par le DAPR Sidecar pour authentifier les appels provenant de l'application, avec une demande HTTP bien conçue.Les utilisateurs qui tirent parti de l'authentification des jetons API sont encouragés à mettre à niveau le DAPR à 1.10.9 ou à 1.11.2.Cette vulnérabilité a un impact sur les utilisateurs DAPR qui ont configuré l'authentification des jetons API.Un attaquant pourrait élaborer une demande qui est toujours autorisée par le DAPR Sidecar sur HTTP, même si le `DAPR-API-TOKING 'dans la demande n'est pas valide ou manquant.Le problème a été résolu dans DAPR 1.10.9 ou à 1.11.2.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Dapr is a portable, event-driven, runtime for building distributed applications across cloud and edge. A vulnerability has been found in Dapr that allows bypassing API token authentication, which is used by the Dapr sidecar to authenticate calls coming from the application, with a well-crafted HTTP request. Users who leverage API token authentication are encouraged to upgrade Dapr to 1.10.9 or to 1.11.2. This vulnerability impacts Dapr users who have configured API token authentication. An attacker could craft a request that is always allowed by the Dapr sidecar over HTTP, even if the `dapr-api-token` in the request is invalid or missing. The issue has been fixed in Dapr 1.10.9 or to 1.11.2. There are no known workarounds for this vulnerability. |
Cloud Vulnerability | ||
|
2023-07-19 02:15:09 | CVE-2023-26023 (lien direct) | La cartouche d'analyse de planification pour le cloud PAK pour les données 4.0 expose des informations sensibles dans les journaux qui pourraient conduire un attaquant à exploiter cette vulnérabilité pour mener d'autres attaques.IBM X-FORCE ID: 247896.
Planning Analytics Cartridge for Cloud Pak for Data 4.0 exposes sensitive information in logs which could lead an attacker to exploit this vulnerability to conduct further attacks. IBM X-Force ID: 247896. |
Cloud Vulnerability | ||
|
2023-07-19 02:15:09 | CVE-2023-26026 (lien direct) | La cartouche d'analyse de planification pour le cloud PAK pour les données 4.0 expose des informations sensibles dans les journaux qui pourraient conduire un attaquant à exploiter cette vulnérabilité pour mener d'autres attaques.IBM X-FORCE ID: 247896.
Planning Analytics Cartridge for Cloud Pak for Data 4.0 exposes sensitive information in logs which could lead an attacker to exploit this vulnerability to conduct further attacks. IBM X-Force ID: 247896. |
Cloud Vulnerability | ||
|
2023-07-19 02:15:09 | CVE-2023-27877 (lien direct) | IBM Planning Analytics Cartridge for Cloud Pak for Data 4.0 se connecte à un serveur CouchDB.Un attaquant peut exploiter une stratégie de mot de passe non sécurisée sur le serveur CouchDB et collecter des informations sensibles dans la base de données.IBM X-FORCE ID: 247905.
IBM Planning Analytics Cartridge for Cloud Pak for Data 4.0 connects to a CouchDB server. An attacker can exploit an insecure password policy to the CouchDB server and collect sensitive information from the database. IBM X-Force ID: 247905. |
Cloud | ||
|
2023-07-19 01:15:10 | CVE-2023-35900 (lien direct) | IBM Robotic Process Automation for Cloud Pak 21.0.0 à 21.0.7.4 et 23.0.0 à 23.0.5 est vulnérable à la divulgation des informations de version du serveur qui peuvent être utilisées pour déterminer les vulnérabilités logicielles au niveau du système d'exploitation.IBM X-FORCE ID: 259368.
IBM Robotic Process Automation for Cloud Pak 21.0.0 through 21.0.7.4 and 23.0.0 through 23.0.5 is vulnerable to disclosing server version information which may be used to determine software vulnerabilities at the operating system level. IBM X-Force ID: 259368. |
Cloud Vulnerability | ||
|
2023-07-17 21:15:09 | CVE-2023-37265 (lien direct) | Casaos est un système de cloud personnel open source.En raison d'un manque de vérification d'adresse IP, des attaquants non authentifiés peuvent exécuter des commandes arbitraires sous forme de «racine» sur les instances de Casaos.Le problème a été résolu en améliorant la détection des adresses IP du client dans `391DD7F`.Ce patch fait partie de Casaos 0.4.4.Les utilisateurs doivent passer à CASAOS 0.4.4.S'ils ne peuvent pas \\ 't, ils devraient temporairement restreindre l'accès à Casaos aux utilisateurs non fiables, par exemple en ne les exposant pas publiquement.
CasaOS is an open-source Personal Cloud system. Due to a lack of IP address verification an unauthenticated attackers can execute arbitrary commands as `root` on CasaOS instances. The problem was addressed by improving the detection of client IP addresses in `391dd7f`. This patch is part of CasaOS 0.4.4. Users should upgrade to CasaOS 0.4.4. If they can\'t, they should temporarily restrict access to CasaOS to untrusted users, for instance by not exposing it publicly. |
Cloud | ||
|
2023-07-17 21:15:09 | CVE-2023-37266 (lien direct) | Casaos est un système de cloud personnel open source.Les attaquants non authentifiés peuvent élaborer des JWT arbitraires et des fonctionnalités d'accès qui nécessitent généralement une authentification et exécuter des commandes arbitraires sous forme de «racine» sur les instances de Casaos.Ce problème a été résolu en améliorant la validation des JWT dans la validation `705BF1F`.Ce patch fait partie de Casaos 0.4.4.Les utilisateurs doivent passer à CASAOS 0.4.4.S'ils ne peuvent pas \\ 't, ils devraient temporairement restreindre l'accès à Casaos aux utilisateurs non fiables, par exemple en ne les exposant pas publiquement.
CasaOS is an open-source Personal Cloud system. Unauthenticated attackers can craft arbitrary JWTs and access features that usually require authentication and execute arbitrary commands as `root` on CasaOS instances. This problem was addressed by improving the validation of JWTs in commit `705bf1f`. This patch is part of CasaOS 0.4.4. Users should upgrade to CasaOS 0.4.4. If they can\'t, they should temporarily restrict access to CasaOS to untrusted users, for instance by not exposing it publicly. |
Cloud | ||
|
2023-07-17 18:15:09 | CVE-2023-33012 (lien direct) | Une vulnérabilité d'injection de commande dans l'analyseur de configuration des versions du micrologiciel de la série Zyxel ATP 5.10 à 5.36 Patch 2, USG Flex Series Firmware Versions 5.00 à 5.36 Patch 2, USG Flex 50 (W) Versions du micrologiciel 5.10 à 5.36 Patch 2, USG20 (W USG (W) Série de séries 5.10 à 5.36 Patch 2, USG20 (W USG (W.) - Versions du micrologiciel de la série VPN 5.10 à 5.36 Patch 2 et VPN Series Firmware Versions 5.00 à 5.36 Patch 2, & acirc; & nbsp; pourrait permettre à un attaquant LAN non authentifié d'exécuter certaines commandes de système d'exploitation en utilisant une configuration GRE fabriquée lorsque le cloudLe mode de gestion est activé.
A command injection vulnerability in the configuration parser of the Zyxel ATP series firmware versions 5.10 through 5.36 Patch 2, USG FLEX series firmware versions 5.00 through 5.36 Patch 2, USG FLEX 50(W) series firmware versions 5.10 through 5.36 Patch 2, USG20(W)-VPN series firmware versions 5.10 through 5.36 Patch 2, and VPN series firmware versions 5.00 through 5.36 Patch 2, could allow an unauthenticated, LAN-based attacker to execute some OS commands by using a crafted GRE configuration when the cloud management mode is enabled. |
Cloud Vulnerability | ||
|
2023-07-17 18:15:09 | CVE-2023-33011 (lien direct) | Une vulnérabilité de chaîne de format dans les versions du micrologiciel de la série Zyxel ATP 5.10 à 5.36 Patch 2, USG Flex Series Firmware Versions 5.00 à 5.36 Patch 2, USG Flex 50 (W) Series Firmware Versions 5.10 à 5.36 Patch 2, USG20 (W) -VPN Series Series Fractive.Les versions du micrologiciel 5.10 à 5.36 Patch 2 et VPN Series Firmware Versions 5.00 à 5.36 Patch 2, pourraient permettre à un attaquant non authentifié de LAN d'exécuter certaines commandes de système d'exploitation en utilisant une configuration PPPoE fabriquée sur un périphérique affecté lorsque le mode de gestion du cloud est activé.
A format string vulnerability in the Zyxel ATP series firmware versions 5.10 through 5.36 Patch 2, USG FLEX series firmware versions 5.00 through 5.36 Patch 2, USG FLEX 50(W) series firmware versions 5.10 through 5.36 Patch 2, USG20(W)-VPN series firmware versions 5.10 through 5.36 Patch 2, and VPN series firmware versions 5.00 through 5.36 Patch 2, could allow an unauthenticated, LAN-based attacker to execute some OS commands by using a crafted PPPoE configuration on an affected device when the cloud management mode is enabled. |
Cloud Vulnerability | ||
|
2023-07-17 17:15:09 | CVE-2023-28767 (lien direct) | L'analyseur de configuration ne parvient pas à désinfecter les entrées contrôlées par l'utilisateur dans les versions du micrologiciel de la série Zyxel ATP 5.10 à 5.36, USG Flex Series Firmware Versions & acirc; & nbsp; 5.00 à 5.36, & acirc; & nbsp;USG Flex 50 (W) Versions du micrologiciel de la série 5.10 à 5.36,
USG20 (W) -VPN Series Firmware Versions 5.10 à 5.36 et VPN Series Firmware Versions 5.00 à 5.36.Un attaquant non authentifié basé sur LAN pourrait tirer parti de la vulnérabilité pour injecter certaines commandes du système d'exploitation (OS) dans les données de configuration de l'appareil sur un appareil affecté lorsque le mode de gestion du cloud est activé.
The configuration parser fails to sanitize user-controlled input in the Zyxel ATP series firmware versions 5.10 through 5.36, USG FLEX series firmware versions 5.00 through 5.36, USG FLEX 50(W) series firmware versions 5.10 through 5.36, USG20(W)-VPN series firmware versions 5.10 through 5.36, and VPN series firmware versions 5.00 through 5.36. An unauthenticated, LAN-based attacker could leverage the vulnerability to inject some operating system (OS) commands into the device configuration data on an affected device when the cloud management mode is enabled. |
Cloud Vulnerability | ||
|
2023-07-12 16:15:13 | CVE-2023-37948 (lien direct) | Jenkins Oracle Cloud Infrastructure Compute Plugin 1.0.16 et plus tôt ne valide pas les clés hôtes SSH lors de la connexion des nuages OCI, permettant des attaques d'homme dans le milieu.
Jenkins Oracle Cloud Infrastructure Compute Plugin 1.0.16 and earlier does not validate SSH host keys when connecting OCI clouds, enabling man-in-the-middle attacks. |
Cloud | ||
|
2023-07-11 18:15:14 | CVE-2023-33155 (lien direct) | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnérabilité
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability |
Cloud Vulnerability | ||
|
2023-07-11 09:15:09 | CVE-2022-22302 (lien direct) | Un stockage de texte clair des informations sensibles (CWE-312) vulnérabilité dans la version 6.4.0 à 6.4.1, 6.2.0 à 6.2.9 et 6.0.0 à 6.0.13 et FortiAuthenticator version 5.5.0 et toutes les versions de6.1 et 6.0 peuvent permettre à une partie locale non autorisée de récupérer les clés privées Fortinet utilisées pour établir une communication sécurisée avec la notification push Apple et les services de messagerie cloud Google, via l'accès aux fichiers du système de fichiers.
A clear text storage of sensitive information (CWE-312) vulnerability in both FortiGate version 6.4.0 through 6.4.1, 6.2.0 through 6.2.9 and 6.0.0 through 6.0.13 and FortiAuthenticator version 5.5.0 and all versions of 6.1 and 6.0 may allow a local unauthorized party to retrieve the Fortinet private keys used to establish secure communication with both Apple Push Notification and Google Cloud Messaging services, via accessing the files on the filesystem. |
Cloud Vulnerability | ||
|
2023-07-10 16:15:50 | CVE-2023-28955 (lien direct) | Le catalogue de connaissances IBM Watson sur Cloud Pak pour Data 4.0 pourrait permettre à un utilisateur authentifié d'envoyer une demande spécialement conçue qui pourrait entraîner un refus de service.IBM X-FORCE ID: 251704.
IBM Watson Knowledge Catalog on Cloud Pak for Data 4.0 could allow an authenticated user send a specially crafted request that could cause a denial of service. IBM X-Force ID: 251704. |
Cloud | ||
|
2023-07-10 16:15:50 | CVE-2023-28995 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Keith Solomon Configurable Tag Cloud (CTC) | Cloud Vulnerability | ||
|
2023-07-10 16:15:50 | CVE-2023-28958 (lien direct) | Le catalogue de connaissances IBM Watson sur le cloud PAK pour les données 4.0 est potentiellement vulnérable à l'injection de CSV.Un attaquant distant pourrait exécuter des commandes arbitraires sur le système, causées par une mauvaise validation du contenu des fichiers CSV.IBM X-FORCE ID: 251782.
IBM Watson Knowledge Catalog on Cloud Pak for Data 4.0 is potentially vulnerable to CSV Injection. A remote attacker could execute arbitrary commands on the system, caused by improper validation of csv file contents. IBM X-Force ID: 251782. |
Cloud | ||
|
2023-07-10 16:15:50 | CVE-2023-28953 (lien direct) | IBM Cognos Analytics on Cloud Pak pour Data 4.0 pourrait permettre à un attaquant de passer des appels système qui pourraient compromettre la sécurité des conteneurs en raison du contexte de sécurité erroné.IBM X-FORCE ID: 251465.
IBM Cognos Analytics on Cloud Pak for Data 4.0 could allow an attacker to make system calls that might compromise the security of the containers due to misconfigured security context. IBM X-Force ID: 251465. |
Cloud | ||
|
2023-07-10 16:15:48 | CVE-2023-1597 (lien direct) | Le plugin WordPress de la bibliothèque de cloud TagDiv avant 2.7 n'a pas d'autorisation et de CSRF dans une action AJAX accessible aux utilisateurs non authentifiés et authentifiés, permettant aux utilisateurs non authentifiés de modifier les métadonnées utilisateur arbitraires, ce qui pourrait entraîner une escalade de privilège en se définissant en tant qu'administrateur arbitraire du blog,.
The tagDiv Cloud Library WordPress plugin before 2.7 does not have authorisation and CSRF in an AJAX action accessible to both unauthenticated and authenticated users, allowing unauthenticated users to change arbitrary user metadata, which could lead to privilege escalation by setting themselves as an admin of the blog. |
Cloud | ||
|
2023-07-07 21:15:09 | CVE-2023-37262 (lien direct) | CC: modifié est un mod pour Minecraft qui ajoute des ordinateurs programmables, des tortues, et plus encore au jeu.Avant les versions 1.20.1-1.106.0, 1.19.4-1.106.0, 1.19.2-1.101.3, 1.18.2-1.101.3 et 1.16.5-1.101.3, si le plugin à contrebande CC CCExécute sur un serveur Minecraft hébergé sur des fournisseurs d'hébergement cloud populaires, comme AWS, GCP et Azure, ces points de terminaison API Services de métadonnées ne sont pas interdits (aka "liste noire") par défaut.En tant que tel, tout joueur peut accéder à des informations sensibles exposées via ces serveurs de métadonnées, ce qui leur permet potentiellement de pivoter ou de privilégier le fournisseur d'hébergement.Les versions 1.20.1-1.106.0, 1.19.4-1.106.0, 1.19.2-1.101.3, 1.18.2-1.101.3 et 1.16.5-1.101.3 contiennent une correction pour ce problème.
CC: Tweaked is a mod for Minecraft which adds programmable computers, turtles, and more to the game. Prior to versions 1.20.1-1.106.0, 1.19.4-1.106.0, 1.19.2-1.101.3, 1.18.2-1.101.3, and 1.16.5-1.101.3, if the cc-tweaked plugin is running on a Minecraft server hosted on a popular cloud hosting providers, like AWS, GCP, and Azure, those metadata services API endpoints are not forbidden (aka "blacklisted") by default. As such, any player can gain access to sensitive information exposed via those metadata servers, potentially allowing them to pivot or privilege escalate into the hosting provider. Versions 1.20.1-1.106.0, 1.19.4-1.106.0, 1.19.2-1.101.3, 1.18.2-1.101.3, and 1.16.5-1.101.3 contain a fix for this issue. |
Cloud | ||
|
2023-07-07 21:15:09 | CVE-2023-37261 (lien direct) | OpenComputers est un mod Minecraft qui ajoute des ordinateurs et des robots programmables au jeu.Ce problème affecte chaque version d'OpenComputers avec la fonction de carte Internet activée;c'est-à-dire OpenComputers 1.2.0 jusqu'à 1.8.3 dans leurs configurations par défaut les plus courantes.Si le mod OpenComputers est installé dans le cadre d'un serveur Minecraft hébergé sur un fournisseur d'hébergement cloud populaire, tel que AWS, GCP et Azure, ces points de terminaison API de Metadata Services \\ 'ne sont pas interdits (aka "listé") par défaut.En tant que tel, tout joueur peut accéder à des informations sensibles exposées via ces serveurs de métadonnées, ce qui leur permet potentiellement de pivoter ou de privilégier le fournisseur d'hébergement.De plus, les adresses IPv6 ne sont pas du tout correctement filtrées, permettant un accès plus large dans le réseau IPv6 local.Cela peut permettre à un lecteur sur un serveur à l'aide d'un ordinateur OpenComputers pour accéder aux parties de l'espace d'adressage IPv4 privé, ainsi que l'ensemble de l'espace d'adressage IPv6, afin de récupérer des informations sensibles.
OpenComputers V1.8.3 pour Minecraft 1.7.10 et 1.12.2 contient un correctif pour ce problème.Certaines solutions de contournement sont également disponibles.On peut désactiver complètement la fonction de carte Internet.Si vous utilisez OpenComputers 1.3.0 ou supérieur, en utilisant la liste Autoriser (`OpenComputers.internet.WhiteList` L'option interdire les connexions à toutes les adresses IP et / ou les domaines non répertoriés;ou on peut ajouter des entrées à la liste des blocs (`OpenComputers.internet.blackList` option).Plus d'informations sur les atténuations sont disponibles dans le GitHub Security Advisory.
OpenComputers is a Minecraft mod that adds programmable computers and robots to the game. This issue affects every version of OpenComputers with the Internet Card feature enabled; that is, OpenComputers 1.2.0 until 1.8.3 in their most common, default configurations. If the OpenComputers mod is installed as part of a Minecraft server hosted on a popular cloud hosting provider, such as AWS, GCP and Azure, those metadata services\' API endpoints are not forbidden (aka "blacklisted") by default. As such, any player can gain access to sensitive information exposed via those metadata servers, potentially allowing them to pivot or privilege escalate into the hosting provider. In addition, IPv6 addresses are not correctly filtered at all, allowing broader access into the local IPv6 network. This can allow a player on a server using an OpenComputers computer to access parts of the private IPv4 address space, as well as the whole IPv6 address space, in order to retrieve sensitive information. OpenComputers v1.8.3 for Minecraft 1.7.10 and 1.12.2 contains a patch for this issue. Some workarounds are also available. One may disable the Internet Card feature completely. If using OpenComputers 1.3.0 or above, using the allow list (`opencomputers.internet.whitelist` option) will prohibit connections to any IP addresses and/or domains not listed; or one may add entries to the block list (`opencomputers.internet.blacklist` option). More information about mitigations is available in the GitHub Security Advisory. |
Cloud | ||
|
2023-07-07 19:15:09 | CVE-2021-39014 (lien direct) | IBM Cloud Object System 3.15.8.97 est vulnérable aux scripts inter-sites stockés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 213650.
IBM Cloud Object System 3.15.8.97 is vulnerable to stored cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 213650. |
Cloud Vulnerability | ||
|
2023-07-06 15:15:15 | CVE-2023-35948 (lien direct) | Novu fournit une API pour envoyer des notifications via plusieurs canaux.Les versions antérieures à 0,16.0 contiennent une vulnérabilité de redirection ouverte dans la fonctionnalité "connecter avec github" du référentiel open source de Novu \\.Cela aurait pu permettre à un attaquant de forcer une victime à ouvrir une URL malveillante et donc potentiellement se connecter au référentiel sous le compte de la victime, prendre le contrôle total du compte.Cette vulnérabilité n'a affecté les déploiements de NOVU Cloud et Open-source si l'utilisateur a activé manuellement le GitHub OAuth sur son instance auto-hébergée de Novu.Les utilisateurs doivent passer à la version 0.16.0 pour recevoir un correctif.
Novu provides an API for sending notifications through multiple channels. Versions prior to 0.16.0 contain an open redirect vulnerability in the "Sign In with GitHub" functionality of Novu\'s open-source repository. It could have allowed an attacker to force a victim into opening a malicious URL and thus, potentially log into the repository under the victim\'s account gaining full control of the account. This vulnerability only affected the Novu Cloud and Open-Source deployments if the user manually enabled the GitHub OAuth on their self-hosted instance of Novu. Users should upgrade to version 0.16.0 to receive a patch. |
Cloud Vulnerability | ||
|
2023-07-03 18:15:09 | CVE-2023-36815 (lien direct) | SEALOS est un système d'exploitation cloud conçu pour gérer les applications natives dans le cloud.Dans la version 4.2.0 et précédemment, il y a une faille d'autorisation dans le système de facturation SEALOS, qui permet aux utilisateurs de contrôler le compte de ressources de recharge `scelos [.] IO / V1 / Payment`, ce qui a donné la possibilité de recharger tout montant de 1 1Renminbi (RMB).L'interface de charge peut exposer les informations sur les ressources.L'espace de noms de cette ressource personnalisée serait le contrôle de l'utilisateur et pourrait avoir la permission de le corriger.Il n'est pas clair si un correctif existe.
Sealos is a Cloud Operating System designed for managing cloud-native applications. In version 4.2.0 and prior, there is a permission flaw in the Sealos billing system, which allows users to control the recharge resource account `sealos[.] io/v1/Payment`, resulting in the ability to recharge any amount of 1 renminbi (RMB). The charging interface may expose resource information. The namespace of this custom resource would be user\'s control and may have permission to correct it. It is not clear whether a fix exists. |
Cloud | ||
|
2023-07-01 00:15:10 | CVE-2023-31997 (lien direct) | UNIFI OS 3.1 introduit une erreur de configuration sur les consoles exécutant un réseau UNIFI qui permet aux utilisateurs d'un réseau local d'accéder à MongoDB.Clés cloud applicables qui sont à la fois (1) exécuter Unifi OS 3.1 et (2) l'hébergement de l'application réseau UNIFI."Coules de cloud applicables" Incluent les éléments suivants: Cloud Key Gen2 et Cloud Key Gen2 Plus.
UniFi OS 3.1 introduces a misconfiguration on consoles running UniFi Network that allows users on a local network to access MongoDB. Applicable Cloud Keys that are both (1) running UniFi OS 3.1 and (2) hosting the UniFi Network application. "Applicable Cloud Keys" include the following: Cloud Key Gen2 and Cloud Key Gen2 Plus. |
Cloud | ||
|
2023-07-01 00:15:09 | CVE-2023-22814 (lien direct) | Un problème de contournement d'authentification via l'usurpation de l'usurpation a été découvert dans le mécanisme d'authentification basé sur le jeton qui pourrait permettre à un attaquant d'effectuer une attaque d'identité.
Ce problème affecte mes appareils Cloud OS 5: avant 5.26.202.
An authentication bypass issue via spoofing was discovered in the token-based authentication mechanism that could allow an attacker to carry out an impersonation attack. This issue affects My Cloud OS 5 devices: before 5.26.202. |
Cloud | ||
|
2023-06-30 22:15:09 | CVE-2023-22816 (lien direct) | Une vulnérabilité d'injection de commande à distance post-authentification dans un fichier CGI dans les appareils Western Digital My Cloud OS 5 qui pourraient permettre à un attaquant de construire des fichiers avec des redirections et d'exécuter des charges utiles plus grandes.
Ce problème affecte mes appareils Cloud OS 5: avant 5.26.300.
A post-authentication remote command injection vulnerability in a CGI file in Western Digital My Cloud OS 5 devices that could allow an attacker to build files with redirects and execute larger payloads. This issue affects My Cloud OS 5 devices: before 5.26.300. |
Cloud Vulnerability | ||
|
2023-06-30 22:15:09 | CVE-2023-22815 (lien direct) | Vulnérabilités d'injection de commande à distance post-authentification dans les appareils Western Digital My Cloud OS 5 qui pourraient permettre à un attaquant d'exécuter du code dans le contexte de l'utilisateur racine sur les fichiers CGI vulnérables.
Ce problème affecte mes appareils Cloud OS 5: avant 5.26.300.
Post-authentication remote command injection vulnerabilities in Western Digital My Cloud OS 5 devices that could allow an attacker to execute code in the context of the root user on vulnerable CGI files. This issue affects My Cloud OS 5 devices: before 5.26.300. |
Cloud | ||
|
2023-06-29 19:15:08 | CVE-2023-33190 (lien direct) | SealOS est une distribution de système d'exploitation cloud open source basé sur le noyau Kubernetes.Dans les versions de SEALOS avant 4.2.0, une mauvaise configuration des autorisations de contrôle d'accès basées sur les rôles (RBAC) a entraîné un attaquant de pouvoir obtenir des autorisations de contrôle des cluster, qui pourraient contrôler l'ensemble du cluster déployé avec SEALOS, ainsi que des centaines de pods etAutres ressources dans le cluster.Ce problème a été résolu dans la version 4.2.0.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Sealos is an open source cloud operating system distribution based on the Kubernetes kernel. In versions of Sealos prior to 4.2.0 an improper configuration of role based access control (RBAC) permissions resulted in an attacker being able to obtain cluster control permissions, which could control the entire cluster deployed with Sealos, as well as hundreds of pods and other resources within the cluster. This issue has been addressed in version 4.2.0. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Cloud | Uber | |
|
2023-06-29 14:15:09 | CVE-2023-34735 (lien direct) | Property Cloud Platform Management Center 1.0 est vulnérable à l'injection SQL basée sur les erreurs.
Property Cloud Platform Management Center 1.0 is vulnerable to error-based SQL injection. |
Cloud | ||
|
2023-06-27 20:15:09 | CVE-2023-30993 (lien direct) | IBM Cloud Pak for Security (CP4S) 1.9.0.0 à 1.9.2.0 pourrait permettre à un attaquant avec une clé API valide pour un locataire d'accéder aux données d'un autre compte de locataire \\.IBM X-FORCE ID: 254136.
IBM Cloud Pak for Security (CP4S) 1.9.0.0 through 1.9.2.0 could allow an attacker with a valid API key for one tenant to access data from another tenant\'s account. IBM X-Force ID: 254136. |
Cloud | ||
|
2023-06-27 19:15:09 | CVE-2023-23468 (lien direct) | IBM Robotic Process Automation for Cloud Pak 21.0.1 à 21.0.7.3 et 23.0.0 à 23.0.3 est vulnérable à une configuration de sécurité insuffisante qui peut permettre la création d'espaces de noms dans un cluster.IBM X-FORCE ID: 244500.
IBM Robotic Process Automation for Cloud Pak 21.0.1 through 21.0.7.3 and 23.0.0 through 23.0.3 is vulnerable to insufficient security configuration which may allow creation of namespaces within a cluster. IBM X-Force ID: 244500. |
Cloud | ||
|
2023-06-27 19:15:09 | CVE-2023-22593 (lien direct) | IBM Robotic Process Automation for Cloud PAK 21.0.1 à 21.0.7.3 et 23.0.0 à 23.0.3 est vulnérable à la mauvaise configuration de la sécurité du conteneur Redis qui peut fournir des privilèges élevés.IBM X-FORCE ID: 244074.
IBM Robotic Process Automation for Cloud Pak 21.0.1 through 21.0.7.3 and 23.0.0 through 23.0.3 is vulnerable to security misconfiguration of the Redis container which may provide elevated privileges. IBM X-Force ID: 244074. |
Cloud | ||
|
2023-06-27 17:15:09 | CVE-2023-34240 (lien direct) | CloudExplorer-Lite est une pile de logiciels cloud open source.Les mots de passe faibles peuvent être facilement devinés et sont une cible facile pour les attaques par force brute.Cela peut entraîner une défaillance du système d'authentification et compromettre la sécurité du système.Les versions de CloudExplorer-Lite avant 1.2.0 n'ont pas appliqué de mots de passe solides.Cette vulnérabilité a été fixée dans la version 1.2.0.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Cloudexplorer-lite is an open source cloud software stack. Weak passwords can be easily guessed and are an easy target for brute force attacks. This can lead to an authentication system failure and compromise system security. Versions of cloudexplorer-lite prior to 1.2.0 did not enforce strong passwords. This vulnerability has been fixed in version 1.2.0. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Cloud Vulnerability | ||
|
2023-06-27 15:15:10 | CVE-2023-2818 (lien direct) | Une autorisation de système de fichiers en insécurité dans l'agent de gestion des menaces d'initié pour Windows permet aux utilisateurs locaux non privilégiés de perturber la surveillance des agents.Toutes les versions antérieures à 7.14.3 sont affectées.Les agents pour macOS et Linux et Cloud ne sont pas affectés.
An insecure filesystem permission in the Insider Threat Management Agent for Windows enables local unprivileged users to disrupt agent monitoring. All versions prior to 7.14.3 are affected. Agents for MacOS and Linux and Cloud are unaffected. |
Threat Cloud | ||
|
2023-06-23 21:15:09 | CVE-2023-35165 (lien direct) | AWS Cloud Development Kit (AWS CDK) est un cadre de développement logiciel open source pour définir l'infrastructure cloud dans le code et la fournir via AWS CloudFormation.Dans les packages, `aws-cdk-lib` 2.0.0 jusqu'à 2.80.0 et` @ aws-cdk / aws-eks` 1.57.0 jusqu'à 1.202.0, `eks.cluster` et` eks.fargatecluster` Les constructions en créent deux deuxLes rôles, «CreationRole» et «Mastersrole» par défaut, qui ont une politique de confiance trop permissive.
La première, appelée «CreationRole», est utilisée par les gestionnaires Lambda pour créer le cluster et déployer des ressources Kubernetes (par exemple `KubernetesManifest», «HelmChart», ...).Les utilisateurs avec la version CDK supérieure ou égale à 1,62.0 (y compris les utilisateurs de V2) peuvent être affectés.
La seconde, appelée «Mastersrole» par défaut, n'est provisionnée que si la propriété «Mastersrole» n'est pas fournie et a des autorisations pour exécuter des commandes «kubectl» sur le cluster.Les utilisateurs avec la version CDK supérieure ou égale à 1,57.0 (y compris les utilisateurs de V2) peuvent être affectés.
Le problème a été résolu dans `@ aws-cdk / aws-eks` v1.202.0 et` aws-cdk-lib` v2.80.0.Ces versions n'utilisent plus le directeur racine du compte.Au lieu de cela, ils restreignent la politique de confiance aux rôles spécifiques des gestionnaires de Lambda qui en ont besoin.Il n'y a pas de solution de contournement pour CreationRole.Pour éviter de créer le «Mastersrole par défaut», utilisez la propriété «MasterSrole» pour fournir explicitement un rôle.
AWS Cloud Development Kit (AWS CDK) is an open-source software development framework to define cloud infrastructure in code and provision it through AWS CloudFormation. In the packages `aws-cdk-lib` 2.0.0 until 2.80.0 and `@aws-cdk/aws-eks` 1.57.0 until 1.202.0, `eks.Cluster` and `eks.FargateCluster` constructs create two roles, `CreationRole` and `default MastersRole`, that have an overly permissive trust policy. The first, referred to as the `CreationRole`, is used by lambda handlers to create the cluster and deploy Kubernetes resources (e.g `KubernetesManifest`, `HelmChart`, ...) onto it. Users with CDK version higher or equal to 1.62.0 (including v2 users) may be affected. The second, referred to as the `default MastersRole`, is provisioned only if the `mastersRole` property isn\'t provided and has permissions to execute `kubectl` commands on the cluster. Users with CDK version higher or equal to 1.57.0 (including v2 users) may be affected. The issue has been fixed in `@aws-cdk/aws-eks` v1.202.0 and `aws-cdk-lib` v2.80.0. These versions no longer use the account root principal. Instead, they restrict the trust policy to the specific roles of lambda handlers that need it. There is no workaround available for CreationRole. To avoid creating the `default MastersRole`, use the `mastersRole` property to explicitly provide a role. |
Cloud | Uber | |
|
2023-06-22 09:15:10 | CVE-2023-28166 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin Cloud Manager des balises Aakif Kadiwala | Cloud Vulnerability | ||
|
2023-06-16 13:15:09 | CVE-2023-20885 (lien direct) | Vulnérabilité dans Cloud Foundry Notifications, Cloud Foundry SMB-Volume Release, Cloud Foundry CF-NFS-Volume Release.Ce problème affecte les notifications: toutes les versions avant 63;Version SMB-Volume: Toutes les versions avant 3.1.19;CF-NFS-VOLUME version: 5.0.x Versions avant 5.0.27, 7.1.x Versions avant 7.1.19.
Vulnerability in Cloud Foundry Notifications, Cloud Foundry SMB-volume release, Cloud FOundry cf-nfs-volume release.This issue affects Notifications: All versions prior to 63; SMB-volume release: All versions prior to 3.1.19; cf-nfs-volume release: 5.0.X versions prior to 5.0.27, 7.1.X versions prior to 7.1.19. |
Cloud Vulnerability | ||
|
2023-06-15 23:15:09 | CVE-2023-2080 (lien direct) | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL Injection \') Vulnérabilité dans Forcepoint Cloud Security Gateway (CSG) sur la passerelle de sécurité du cloud Web, le cloud de sécurité des e-mails permet à Blind SQL injection.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Forcepoint Cloud Security Gateway (CSG) Portal on Web Cloud Security Gateway, Email Security Cloud allows Blind SQL Injection. |
Cloud Vulnerability | ||
|
2023-06-14 00:15:10 | CVE-2023-29361 (lien direct) | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnérabilité
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability |
Cloud Vulnerability |
To see everything:
Our RSS (filtrered)
