What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-28 08:15:07 | CVE-2023-46215 (lien direct) | Insertion d'informations sensibles dans la vulnérabilité des fichiers journaux dans le fournisseur de céleri Airflow Apache, Apache Airflow.
Informations sensibles enregistrées comme texte clair lorsque les protocoles Redess, AMQP, RPC sont utilisés comme backend de résultat de céleri
Remarque: la vulnérabilité & acirc; & nbsp;
Ce problème affecte le fournisseur de céleri de flux d'air Apache: de 3.3.0 à 3.4.0;Apache Air Flow: de 1.10.0 à 2.6.3.
Les utilisateurs sont recommandés pour mettre à niveau le fournisseur de céleri Airflow vers la version 3.4.1 & acirc; & nbsp; et Apache AirlFow à la version 2.7.0 qui résout le problème.
Insertion of Sensitive Information into Log File vulnerability in Apache Airflow Celery provider, Apache Airflow. Sensitive information logged as clear text when rediss, amqp, rpc protocols are used as Celery result backend Note: the vulnerability is about the information exposed in the logs not about accessing the logs. This issue affects Apache Airflow Celery provider: from 3.3.0 through 3.4.0; Apache Airflow: from 1.10.0 through 2.6.3. Users are recommended to upgrade Airflow Celery provider to version 3.4.1 and Apache Airlfow to version 2.7.0 which fixes the issue. |
Vulnerability | ||
|
2023-10-28 01:15:51 | CVE-2023-43322 (lien direct) | ZPE Systems, Inc Nodegrid OS v5.0.0 à v5.0.17, v5.2.0 à v5.2.19, v5.4.0 à v5.4.16, v5.6.0 à v5.6.13, v5.8.0 à v5.8.10 et v5.10.0à v5.10.3 a été découvert pour contenir une vulnérabilité d'injection de commande via le point de terminaison / v1 / système / outils / files / fichiers /.
ZPE Systems, Inc Nodegrid OS v5.0.0 to v5.0.17, v5.2.0 to v5.2.19, v5.4.0 to v5.4.16, v5.6.0 to v5.6.13, v5.8.0 to v5.8.10, and v5.10.0 to v5.10.3 was discovered to contain a command injection vulnerability via the endpoint /v1/system/toolkit/files/. |
Vulnerability | ||
|
2023-10-28 01:15:51 | CVE-2023-46467 (lien direct) | La vulnérabilité des scripts du site croisé dans Juzawebcms V.3.4 et avant permet à un attaquant distant d'exécuter du code arbitraire via une charge utile fabriquée au paramètre de nom d'utilisateur de la page d'enregistrement.
Cross Site Scripting vulnerability in juzawebCMS v.3.4 and before allows a remote attacker to execute arbitrary code via a crafted payload to the username parameter of the registration page. |
Vulnerability | ||
|
2023-10-27 23:15:07 | CVE-2023-46587 (lien direct) | La vulnérabilité de débordement de tampon dans XNView Classic V.2.51.5 permet à un attaquant local d'exécuter du code arbitraire via un fichier TIF fabriqué.
Buffer Overflow vulnerability in XnView Classic v.2.51.5 allows a local attacker to execute arbitrary code via a crafted TIF file. |
Vulnerability | ||
|
2023-10-27 22:15:09 | CVE-2023-46490 (lien direct) | La vulnérabilité de l'injection SQL dans CACTI V1.2.25 permet à un attaquant distant d'obtenir des informations sensibles via la fonction form_actions () dans la fonction managers.php.
SQL Injection vulnerability in Cacti v1.2.25 allows a remote attacker to obtain sensitive information via the form_actions() function in the managers.php function. |
Vulnerability | ||
|
2023-10-27 21:15:10 | CVE-2023-5830 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans le localisateur de documents Columbasoft.Cela affecte une partie inconnue du fichier / api / authentification / connexion des composants webTools.La manipulation du serveur d'arguments conduit à une mauvaise authentification.Il est possible d'initier l'attaque à distance.La mise à niveau vers la version 7.2 SP4 et 2021.1 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant VDB-243729 a été attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in ColumbiaSoft Document Locator. This affects an unknown part of the file /api/authentication/login of the component WebTools. The manipulation of the argument Server leads to improper authentication. It is possible to initiate the attack remotely. Upgrading to version 7.2 SP4 and 2021.1 is able to address this issue. It is recommended to upgrade the affected component. The identifier VDB-243729 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-46200 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Stephen Darlington, Wandle Software Limited Smart App Banner Plugin | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-46209 (lien direct) | Unauth.Vulnérabilité des scripts croisés (XSS) réfléchis dans G5Theme Grid Plus & acirc; & euro; & ldquo;Plugin de grille illimité | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-46211 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le brainstorm Force Ultimate Addons pour WPBAKERY Page Builder Plugin | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-46208 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans StyleMixThemes Motors & acirc; & euro; & ldquo;Concessionnaire automobile, classifiés & amp;Plugin de liste | Vulnerability | ||
|
2023-10-27 21:15:08 | CVE-2023-32738 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le manuel alkaweb eonet manuel approuver le plugin | Vulnerability | ||
 |
2023-10-27 20:29:00 | L'attaque du canal latéral Safari permet un vol du navigateur Safari Side-Channel Attack Enables Browser Theft (lien direct) |
L'attaque "iLeakage" affecte tous les modèles récents de l'iPhone, de l'iPad et du MacBook, permettant aux attaquants de parcourir votre boîte de réception Gmail, de voler votre mot de passe Instagram ou de examiner votre historique YouTube.
The "iLeakage" attack affects all recent iPhone, iPad, and MacBook models, allowing attackers to peruse your Gmail inbox, steal your Instagram password, or scrutinize your YouTube history. |
Vulnerability | ★★★ | |
|
2023-10-27 20:15:09 | CVE-2023-29009 (lien direct) | Basercms est un framework de développement de sites Web avec WebAPI qui fonctionne sur PHP8 et CakePHP4.Il y a une vulnérabilité XSS dans la caractéristique des favoris aux basercms.Ce problème a été corrigé dans la version 4.8.0.
baserCMS is a website development framework with WebAPI that runs on PHP8 and CakePHP4. There is a XSS Vulnerability in Favorites Feature to baserCMS. This issue has been patched in version 4.8.0. |
Vulnerability | ||
|
2023-10-27 20:15:09 | CVE-2023-5828 (lien direct) | Une vulnérabilité a été trouvée dans Nanning Ontall Longxing Industrial Development Zone Construction et Système de gestion de l'installation jusqu'en 20231026. Il a été déclaré critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier Login.aspx.La manipulation de l'argument tbxusername conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-243727.
A vulnerability was found in Nanning Ontall Longxing Industrial Development Zone Project Construction and Installation Management System up to 20231026. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file login.aspx. The manipulation of the argument tbxUserName leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-243727. |
Vulnerability Threat Industrial | ||
|
2023-10-27 20:15:09 | CVE-2023-5829 (lien direct) | Une vulnérabilité a été trouvée dans le système d'admission de code de code 1.0.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier student_avatar.php.La manipulation conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-243728.
A vulnerability was found in code-projects Admission Management System 1.0. It has been rated as critical. Affected by this issue is some unknown functionality of the file student_avatar.php. The manipulation leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-243728. |
Vulnerability Threat | ||
|
2023-10-27 20:15:08 | CVE-2022-3701 (lien direct) | Une vulnérabilité d'élévation de privilège a été signalée dans le plugin Lenovo Vantage SystemUpdate version 2.0.0.212 et plus tôt qui pourrait permettre à un attaquant local d'exécuter du code arbitraire avec des privilèges élevés.
A privilege elevation vulnerability was reported in the Lenovo Vantage SystemUpdate plugin version 2.0.0.212 and earlier that could allow a local attacker to execute arbitrary code with elevated privileges. |
Vulnerability | ||
|
2023-10-27 20:15:08 | CVE-2022-3700 (lien direct) | Une vulnérabilité à l'heure de vérification de l'utilisation (TOCTOU) a été signalée dans le plugin Lenovo Vantage SystemUpdate version 2.0.0.212 et plus tôt qui pourrait permettre à un attaquant local de supprimer des fichiers arbitraires.
A Time of Check Time of Use (TOCTOU) vulnerability was reported in the Lenovo Vantage SystemUpdate Plugin version 2.0.0.212 and earlier that could allow a local attacker to delete arbitrary files. |
Vulnerability | ||
|
2023-10-27 20:15:08 | CVE-2022-3681 (lien direct) | Une vulnérabilité a été identifiée dans le routeur MR2600 V1.0.18 et plus tôt qui pourrait permettre à un attaquant à portée du réseau sans fil de forcer avec succès la broche WPS, ce qui leur permet de leur permettre un accès non autorisé à un réseau sans fil.
A vulnerability has been identified in the MR2600 router v1.0.18 and earlier that could allow an attacker within range of the wireless network to successfully brute force the WPS pin, potentially allowing them unauthorized access to a wireless network. |
Vulnerability | ||
|
2023-10-27 20:15:08 | CVE-2022-3611 (lien direct) | Une vulnérabilité de divulgation d'informations a été identifiée dans le Lenovo App Store qui peut permettre à certaines applications d'obtenir un accès non autorisé aux données utilisateur sensibles utilisées par d'autres applications non liées.
An information disclosure vulnerability has been identified in the Lenovo App Store which may allow some applications to gain unauthorized access to sensitive user data used by other unrelated applications. |
Vulnerability | ||
|
2023-10-27 20:15:08 | CVE-2022-3702 (lien direct) | Une vulnérabilité de déni de service a été signalée dans le plugin de Lenovo Vantage Hardwarescan version 1.3.0.5 et plus tôt qui pourrait permettre à un attaquant local de supprimer le contenu d'un répertoire arbitraire dans certaines conditions.
A denial of service vulnerability was reported in Lenovo Vantage HardwareScan Plugin version 1.3.0.5 and earlier that could allow a local attacker to delete contents of an arbitrary directory under certain conditions. |
Vulnerability | ||
|
2023-10-27 19:15:41 | CVE-2023-27858 (lien direct) | La simulation Rockwell Automation Arena contient une vulnérabilité d'exécution de code arbitraire qui pourrait potentiellement permettre à un utilisateur malveillant de commettre un code non autorisé au logiciel en utilisant un pointeur non initialisé dans l'application.& Acirc; & nbsp; L'acteur de menace pourrait alors exécuter un code malveillant sur le système affectant la confidentialité, l'intégrité et la disponibilité du produit.& Acirc; & nbsp; l'utilisateur devrait ouvrir un fichier malveillant qui lui est fourni par l'attaquant pour que le code s'exécute.
Rockwell Automation Arena Simulation contains an arbitrary code execution vulnerability that could potentially allow a malicious user to commit unauthorized code to the software by using an uninitialized pointer in the application.  The threat-actor could then execute malicious code on the system affecting the confidentiality, integrity, and availability of the product.  The user would need to open a malicious file provided to them by the attacker for the code to execute. |
Vulnerability | ||
|
2023-10-27 19:15:41 | CVE-2022-3429 (lien direct) | Une vulnérabilité de déni de service a été trouvée dans le firmware utilisé dans les imprimantes Lenovo, où les utilisateurs envoient des chaînes illégales ou mal formées à un port ouvert, déclenchant un déni de service qui provoque une erreur d'affichage et empêche l'imprimante de fonctionner correctement.
A denial-of-service vulnerability was found in the firmware used in Lenovo printers, where users send illegal or malformed strings to an open port, triggering a denial of service that causes a display error and prevents the printer from functioning properly. |
Vulnerability | ||
|
2023-10-27 19:15:41 | CVE-2023-46246 (lien direct) | VIM est une version améliorée du Good Old Unix Editor VI.Tas-use-après-libre dans la mémoire allouée dans la fonction `ga_grow_inner` dans le fichier` src / alloc.c` à la ligne 748, qui est libéré dans le fichier `src / ex_docmd.c` dans la fonction` do_cmdline`À la ligne 1010, puis utilisé à nouveau dans `src / cmdhist.c` à la ligne 759. Lorsque vous utilisez la commande`: historique`, il est possible que l'argument fourni déborde la valeur acceptée.Provoquant un débordement entier et potentiellement plus tard un usage sans-être sans.Cette vulnérabilité a été corrigée dans la version 9.0.2068.
Vim is an improved version of the good old UNIX editor Vi. Heap-use-after-free in memory allocated in the function `ga_grow_inner` in in the file `src/alloc.c` at line 748, which is freed in the file `src/ex_docmd.c` in the function `do_cmdline` at line 1010 and then used again in `src/cmdhist.c` at line 759. When using the `:history` command, it\'s possible that the provided argument overflows the accepted value. Causing an Integer Overflow and potentially later an use-after-free. This vulnerability has been patched in version 9.0.2068. |
Vulnerability | ||
|
2023-10-27 19:15:41 | CVE-2023-46290 (lien direct) | En raison d'une logique de code inadéquate, un acteur de menace auparavant non authentifié pourrait potentiellement obtenir un jeton utilisateur local du système d'exploitation Windows via FactoryTalk & acirc; & reg;Service Web Service Web, puis utilisez le jeton pour se connecter à FactoryTalk & acirc; & reg;Plateforme de services.Cette vulnérabilité ne peut être exploitée que si l'utilisateur autorisé ne se connectait pas auparavant à FactoryTalk & Acirc; & Reg;Service Web de plateforme de services.
Due to inadequate code logic, a previously unauthenticated threat actor could potentially obtain a local Windows OS user token through the FactoryTalk® Services Platform web service and then use the token to log in into FactoryTalk® Services Platform . This vulnerability can only be exploited if the authorized user did not previously log in into the FactoryTalk® Services Platform web service. |
Vulnerability Threat | ||
|
2023-10-27 19:15:41 | CVE-2023-27854 (lien direct) | Une vulnérabilité d'exécution de code arbitraire a été signalée à Rockwell Automation dans une simulation Arena qui pourrait potentiellement permettre à un utilisateur malveillant de commettre un code arbitraire non autorisé au logiciel en utilisant un débordement de tampon de mémoire.& Acirc; & nbsp; L'acteur de menace pourrait alors exécuter un code malveillant sur le système affectant la confidentialité, l'intégrité et la disponibilité du produit.& Acirc; & nbsp; l'utilisateur devrait ouvrir un fichier malveillant qui lui est fourni par l'attaquant pour que le code s'exécute.
An arbitrary code execution vulnerability was reported to Rockwell Automation in Arena Simulation that could potentially allow a malicious user to commit unauthorized arbitrary code to the software by using a memory buffer overflow. Â The threat-actor could then execute malicious code on the system affecting the confidentiality, integrity, and availability of the product. Â The user would need to open a malicious file provided to them by the attacker for the code to execute. |
Vulnerability | ||
|
2023-10-27 19:15:40 | CVE-2022-34886 (lien direct) | Une vulnérabilité d'exécution de code distante a été trouvée dans le micrologiciel utilisé dans certaines imprimantes Lenovo, qui peuvent être causées par un utilisateur distant poussant une chaîne illégale vers l'interface côté serveur via un script, ce qui entraîne un débordement de pile.
A remote code execution vulnerability was found in the firmware used in some Lenovo printers, which can be caused by a remote user pushing an illegal string to the server-side interface via a script, resulting in a stack overflow. |
Vulnerability | ||
|
2023-10-27 18:15:22 | CVE-2023-5826 (lien direct) | Une vulnérabilité a été trouvée dans la passerelle de sécurité des applications NETENTSEC NS-ASG 6.3 et classée comme critique.Ce problème est une fonctionnalité inconnue du fichier /admin/list_onlineuser.php.La manipulation de l'argument SessionId conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-243716.Remarque: Nous avons essayé de contacter tôt le vendeur à propos de la divulgation, mais l'adresse courante officielle ne fonctionnait pas correctement.
A vulnerability was found in Netentsec NS-ASG Application Security Gateway 6.3 and classified as critical. Affected by this issue is some unknown functionality of the file /admin/list_onlineuser.php. The manipulation of the argument SessionId leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-243716. NOTE: We tried to contact the vendor early about the disclosure but the official mail address was not working properly. |
Vulnerability Threat | ||
|
2023-10-27 18:15:22 | CVE-2023-5827 (lien direct) | Une vulnérabilité a été trouvée dans la surveillance CTI de Shanghai CTI CTI et le système d'alerte précoce 2.2.Il a été classé comme critique.Cela affecte une partie inconnue du fichier /web/sysmanage/useredit.aspx.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-243717 a été attribué à cette vulnérabilité.
A vulnerability was found in Shanghai CTI Navigation CTI Monitoring and Early Warning System 2.2. It has been classified as critical. This affects an unknown part of the file /Web/SysManage/UserEdit.aspx. The manipulation of the argument ID leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier VDB-243717 was assigned to this vulnerability. |
Vulnerability Threat | ||
 |
2023-10-27 16:30:00 | Les pirates nord-coréens exploitent le bogue connu dans le fournisseur de logiciels \\ 'de haut niveau \\' North Korean hackers exploit known bug in \\'high-profile\\' software vendor (lien direct) |
Les pirates connectés au gouvernement nord-coréen ont exploité une vulnérabilité dans un fournisseur de logiciels «haut de gamme» pour cibler ses clients, selon un récent Rapport .À la mi-juillet, les chercheurs de la société de cybersécurité Kaspersky ont détecté une série d'attaques contre plusieurs victimes ciblées via un logiciel de sécurité non identifié conçu pour crypter les communications Web à l'aide du numérique
Hackers connected to the North Korean government have exploited a vulnerability in a “high-profile” software vendor to target its customers, according to a recent report. In mid-July, researchers from the cybersecurity firm Kaspersky detected a series of attacks on several victims who were targeted through unidentified security software designed to encrypt web communications using digital |
Vulnerability Threat | APT 38 | ★★★★ |
 |
2023-10-27 16:24:00 | Google étend son programme Bug Bounty pour lutter contre les menaces d'intelligence artificielle Google Expands Its Bug Bounty Program to Tackle Artificial Intelligence Threats (lien direct) |
Google a annoncé qu'il élargit son programme de récompenses de vulnérabilité (VRP) pour récompenser les chercheurs pour trouver des scénarios d'attaque adaptés aux systèmes génératifs de l'intelligence artificielle (IA) dans le but de renforcer la sécurité et la sécurité de l'IA.
"L'IA générative soulève des préoccupations nouvelles et différentes de la sécurité numérique traditionnelle, comme le potentiel de biais injuste, de manipulation du modèle ou
Google has announced that it\'s expanding its Vulnerability Rewards Program (VRP) to reward researchers for finding attack scenarios tailored to generative artificial intelligence (AI) systems in an effort to bolster AI safety and security. "Generative AI raises new and different concerns than traditional digital security, such as the potential for unfair bias, model manipulation or |
Vulnerability | ★★ | |
|
2023-10-27 15:15:14 | CVE-2023-46604 (lien direct) | Apache ActiveMQ est vulnérable à l'exécution du code distant.. & Acirc; & nbsp;
Il est recommandé aux utilisateurs de passer à la version 5.15.16, 5.16.7, 5.17.6 ou 5.18.3, ce qui résout ce problème.
Apache ActiveMQ is vulnerable to Remote Code Execution.The vulnerability may allow a remote attacker with network access to a broker to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause the broker to instantiate any class on the classpath. Users are recommended to upgrade to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3, which fixes this issue. |
Vulnerability | ||
|
2023-10-27 14:15:08 | CVE-2023-46393 (lien direct) | Gougucms v4.08.18 a été découvert qu'il contenait une vulnérabilité d'empoisonnement de réinitialisation de mot de passe qui permet aux attaquants de réinitialiser arbitrairement les mots de passe des utilisateurs via un paquet fabriqué.
gougucms v4.08.18 was discovered to contain a password reset poisoning vulnerability which allows attackers to arbitrarily reset users\' passwords via a crafted packet. |
Vulnerability | ||
|
2023-10-27 14:15:08 | CVE-2023-46394 (lien direct) | Une vulnérabilité de script inter-sites (XSS) stockée dans / home / user / edit_submit de gougucms v4.08.18 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via l'injection d'une charge utile fabriquée dans le paramètre HeadMgurl.
A stored cross-site scripting (XSS) vulnerability in /home/user/edit_submit of gougucms v4.08.18 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the headimgurl parameter. |
Vulnerability | ||
|
2023-10-27 14:15:08 | CVE-2023-5443 (lien direct) | Protection incorrecte pour les messages d'erreur sortante et la vulnérabilité des signaux d'alerte dans EDM informatics e-invoice permet l'empreinte du compte. Ce problème affecte E-invoice: avant 2.1.
Improper Protection for Outbound Error Messages and Alert Signals vulnerability in EDM Informatics E-invoice allows Account Footprinting.This issue affects E-invoice: before 2.1. |
Vulnerability | ||
 |
2023-10-27 13:51:17 | Outils VMware de haute sévérité et vulnérabilités de serveur VCenter adressées avec des correctifs récents (CVE-2023-34057, CVE-2023-34058, CVE-2023-34048) High-Severity VMware Tools and vCenter Server Vulnerabilities Addressed with Recent Patches (CVE-2023-34057, CVE-2023-34058, CVE-2023-34048) (lien direct) |
VMware a abordé deux vulnérabilités critiques dans les outils VMware, CVE-2023-34057 et CVE-2023-34058, tous deux portant un haut ...
VMware has addressed two critical vulnerabilities in VMware Tools, CVE-2023-34057 and CVE-2023-34058, both carrying high... |
Tool Vulnerability | ★★★ | |
|
2023-10-27 13:15:08 | CVE-2023-5807 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans le portail d'éducation logiciel Trtek permet d'injection SQL. Ce problème affecte le portail de l'éducation: avant le 3,2023.29.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in TRtek Software Education Portal allows SQL Injection.This issue affects Education Portal: before 3.2023.29. |
Vulnerability | ||
|
2023-10-27 12:15:08 | CVE-2023-5570 (lien direct) | Protection incorrecte pour les messages d'erreur sortante et la vulnérabilité des signaux d'alerte dans INOHOM Home Manager Gateway Permet l'empreinte du compte. Ce problème affecte la passerelle Home Manager: avant V.1.27.12.
Improper Protection for Outbound Error Messages and Alert Signals vulnerability in Inohom Home Manager Gateway allows Account Footprinting.This issue affects Home Manager Gateway: before v.1.27.12. |
Vulnerability | ||
|
2023-10-27 10:13:35 | La vulnérabilité critique dans F5 Big-IP Configuration Utility permet de demander la contrebande, mène à RCE: CVE-2023-46747 Critical Vulnerability in F5 BIG-IP Configuration Utility Allows Request Smuggling, Leads to RCE: CVE-2023-46747 (lien direct) |
Une découverte récente dans les produits Big-IP F5 révèle une vulnérabilité critique, identifiée comme CVE-2023-46747, qui ...
A recent discovery within F5 BIG-IP products reveals a critical vulnerability, identified as CVE-2023-46747, which... |
Vulnerability | ★★★ | |
|
2023-10-27 09:53:00 | F5 Issues AVERTISSEMENT: La vulnérabilité Big-IP permet l'exécution du code distant F5 Issues Warning: BIG-IP Vulnerability Allows Remote Code Execution (lien direct) |
F5 a alerté les clients d'une vulnérabilité de sécurité critique impactant le BIG-IP qui pourrait entraîner une exécution de code distante non authentifiée.
Le problème, ancré dans le composant de l'utilitaire de configuration, a été attribué à l'identifiant CVE CVE-2023-46747 et porte un score CVSS de 9,8 sur un maximum de 10.
"Cette vulnérabilité peut permettre un attaquant non authentifié avec un accès au réseau au Big-IP
F5 has alerted customers of a critical security vulnerability impacting BIG-IP that could result in unauthenticated remote code execution. The issue, rooted in the configuration utility component, has been assigned the CVE identifier CVE-2023-46747, and carries a CVSS score of 9.8 out of a maximum of 10. "This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP |
Vulnerability | ★★ | |
|
2023-10-27 08:15:31 | CVE-2023-46194 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Eric Teubert Archivist & acirc; & euro; & ldquo;Plugin de modèles d'archives personnalisés | Vulnerability | Uber | |
|
2023-10-27 08:15:31 | CVE-2023-46091 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Bala Krishna, Sergey Yakovlev Catégorie SEO Meta Tags Plugin | Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-44220 (lien direct) | Client Sonicwall NetExtender Windows (32 bits et 64 bits) 10.2.336 et les versions antérieures ont une vulnérabilité de détournement de l'ordre de recherche DLL dans le composant DLL de démarrage.Une exploitation réussie via un attaquant local pourrait entraîner l'exécution des commandes dans le système cible.
SonicWall NetExtender Windows (32-bit and 64-bit) client 10.2.336 and earlier versions have a DLL Search Order Hijacking vulnerability in the start-up DLL component. Successful exploitation via a local attacker could result in command execution in the target system. |
Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-44219 (lien direct) | Une vulnérabilité locale d'escalade des privilèges dans le connecteur des services de répertoire de Sonicwall Windows MSI Client 4.1.21 et les versions antérieures permettent à un utilisateur local peu privilégié de gagner des privilèges système en exécutant la fonction de récupération.
A local privilege escalation vulnerability in SonicWall Directory Services Connector Windows MSI client 4.1.21 and earlier versions allows a local low-privileged user to gain system privileges through running the recovery feature. |
Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-46093 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin d'outils de webmaster lionscripts.com | Tool Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-46153 (lien direct) | Unauth.Vulnérabilité de script de script inter-sites (XSS) dans le plugin de rétroaction de l'équipe UserFeedback | Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-46192 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts croisés (XSS) dans Internet marketing ninjas Plugin de création de liens internes | Vulnerability | ||
|
2023-10-27 08:15:31 | CVE-2023-46199 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin triberr | Vulnerability | ||
|
2023-10-27 05:15:39 | CVE-2023-34059 (lien direct) | Open-VM-Tools contient une vulnérabilité de détournement de descripteur de fichiers dans le VMware-User-Suid-Wrapper. & acirc; & nbsp; un acteur malveillant avec des privilèges non root peut être en mesure de détourner le détournement le
/ Dev / Uinput Fichier Descripteur leur permettant de simuler les entrées utilisateur.
open-vm-tools contains a file descriptor hijack vulnerability in the vmware-user-suid-wrapper. A malicious actor with non-root privileges may be able to hijack the /dev/uinput file descriptor allowing them to simulate user inputs. |
Vulnerability | ||
|
2023-10-27 04:15:10 | CVE-2023-46504 (lien direct) | La vulnérabilité du script de site croisé (XSS) dans PWNCYN YXBookCMS V.1.0.2 permet à un attaquant physiquement proximité d'exécuter du code arbitraire via la fonction de nom de la bibliothèque dans le composant des paramètres généraux.
Cross Site Scripting (XSS) vulnerability in PwnCYN YXBOOKCMS v.1.0.2 allows a physically proximate attacker to execute arbitrary code via the library name function in the general settings component. |
Vulnerability | ||
|
2023-10-27 04:15:10 | CVE-2023-46816 (lien direct) | Un problème a été découvert dans Sugarcrm 12 avant 12.0.4 et 13 avant 13.0.2.Une vulnérabilité d'injection de modèle de site de serveur (SSTI) a été identifiée dans l'action GecControl.En utilisant une demande fabriquée, le code PHP personnalisé peut être injecté via l'action GetControl en raison de la validation d'entrée manquante.Un attaquant avec des privilèges utilisateur réguliers peut l'exploiter.
An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. A Server Site Template Injection (SSTI) vulnerability has been identified in the GecControl action. By using a crafted request, custom PHP code can be injected via the GetControl action because of missing input validation. An attacker with regular user privileges can exploit this. |
Vulnerability Threat |
To see everything:
Our RSS (filtrered)
