What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-26 13:15:09 | CVE-2023-46075 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans WPDevart Contact Form Builder, Contact Widget Plugin | Vulnerability | ||
|
2023-10-26 13:15:09 | CVE-2023-46077 (lien direct) | Unauth.Vulnérabilité des scripts croisés (XSS) réfléchis dans les plugins Arrow The Awesome Feed & acirc; & euro; & ldquo;Plugin d'alimentation personnalisé | Vulnerability | ||
 |
2023-10-26 13:08:32 | Exploring a crypto-mining campaign which used the Log4j vulnerability (lien direct) | This blog analyzes a campaign-like pattern detected by Darktrace across multiple customers and industries which used the Log4j vulnerability to exploit compromised systems for crypto-mining, highlighting the multi-stage attack from initial C2 contact through payload retrieval to successful crypto-miner installation.
This blog analyzes a campaign-like pattern detected by Darktrace across multiple customers and industries which used the Log4j vulnerability to exploit compromised systems for crypto-mining, highlighting the multi-stage attack from initial C2 contact through payload retrieval to successful crypto-miner installation. |
Vulnerability Threat | ★★ | |
|
2023-10-26 13:08:32 | If you build it, they will come: Cyber-criminals are exploiting Latin America\\'s new digital economy (lien direct) | In light of Latin America\'s rapid digitalization and increasingly lucrative virtual assets, existing security vulnerabilities that were not significant several years or even months ago are now being exploited by cyber-criminals.
In light of Latin America\'s rapid digitalization and increasingly lucrative virtual assets, existing security vulnerabilities that were not significant several years or even months ago are now being exploited by cyber-criminals. |
Vulnerability | ★★ | |
|
2023-10-26 12:15:08 | CVE-2023-46072 (lien direct) | Unauth.La vulnérabilité reflétée des scripts croisés (XSS) dans Michael Simpson ajoute des actions shortcodes et des filtres plugin | Vulnerability | ||
|
2023-10-26 12:15:08 | CVE-2023-30492 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans l'achat minimum VARK pour le plugin WooCommerce | Vulnerability | ||
|
2023-10-26 12:15:08 | CVE-2023-46074 (lien direct) | Unauth.Vulnérabilité reflétée de scripts inter-sites (XSS) dans Borbis Media Freshmail pour le plugin WordPress | Vulnerability | ||
|
2023-10-26 12:15:08 | CVE-2023-5802 (lien direct) | Cross-Site Request Forgery (CSRF) vulnerability in Mihai Iova WordPress Knowledge base & Documentation Plugin – WP Knowledgebase plugin | Vulnerability | ||
 |
2023-10-26 10:53:00 | La faille critique dans la connexion de NextGen \\ pourrait exposer les données de santé Critical Flaw in NextGen\\'s Mirth Connect Could Expose Healthcare Data (lien direct) |
Les utilisateurs de Mirth Connect, une plate-forme d'intégration de données open source de NextGen Healthcare, sont invités à mettre à jour la dernière version suite à la découverte d'une vulnérabilité d'exécution de code distant non authentifiée.
Suivi sous le nom de CVE-2023-43208, la vulnérabilité a été abordée dans la version 4.4.1 publiée le 6 octobre 2023.
"Il s'agit d'un code distant facilement exploitable et non authentifié
Users of Mirth Connect, an open-source data integration platform from NextGen HealthCare, are being urged to update to the latest version following the discovery of an unauthenticated remote code execution vulnerability. Tracked as CVE-2023-43208, the vulnerability has been addressed in version 4.4.1 released on October 6, 2023. "This is an easily exploitable, unauthenticated remote code |
Vulnerability | ★★ | |
 |
2023-10-26 10:00:00 | Ensuring robust security of a containerized environment (lien direct) | The content of this post is solely the responsibility of the author. AT&T does not adopt or endorse any of the views, positions, or information provided by the author in this article. In today’s rapidly evolving digital landscape, containerized microservices have become the lifeblood of application development and deployment. Resembling miniature virtual machines, these entities enable efficient code execution in any environment, be it an on-premises server, a public cloud, or even a laptop. This paradigm eliminates the criteria of platform compatibility and library dependency from the DevOps equation. As organizations embrace the benefits of scalability and flexibility offered by containerization, they must also take up the security challenges intrinsic to this software architecture approach. This article highlights key threats to container infrastructure, provides insights into relevant security strategies, and emphasizes the shared responsibility of safeguarding containerized applications within a company. Understanding the importance of containers for cloud-native applications Containers play a pivotal role in streamlining and accelerating the development process. Serving as the building blocks of cloud-native applications, they are deeply intertwined with four pillars of software engineering: the DevOps paradigm, CI/CD pipeline, microservice architecture, and frictionless integration with orchestration tools. Orchestration tools form the backbone of container ecosystems, providing vital functionalities such as load balancing, fault tolerance, centralized management, and seamless system scaling. Orchestration can be realized through diverse approaches, including cloud provider services, self-deployed Kubernetes clusters, container management systems tailored for developers, and container management systems prioritizing user-friendliness. The container threat landscape According to recent findings of Sysdig, a company specializing in cloud security, a whopping 87% of container images have high-impact or critical vulnerabilities. While 85% of these flaws have a fix available, they can’t be exploited because the hosting containers aren’t in use. That said, many organizations run into difficulties prioritizing the patches. Rather than harden the protections of the 15% of entities exposed at runtime, security teams waste their time and resources on loopholes that pose no risk. One way or another, addressing these vulnerabilities requires the fortification of the underlying infrastructure. Apart from configuring orchestration systems properly, it’s crucial to establish a well-thought-out set of access permissions for Docker nodes or Kubernetes. Additionally, the security of containers hinges on the integrity of the images used for their construction. Guarding containers throughout the product life cycle A container\'s journey encompasses three principal stages. The initial phase involves constructing the container and subjecting it to comprehensive functional and load tests. Subsequently, the container is stored in the image registry, awaiting its moment of execution. The third stage, container runtime, occurs when the container is launched and operates as intended. Early identification of vulnerabilities is vital, and this is where the shift-left security principle plays a role. It encourages an intensified focus on security from the nascent stages of the product life cycle, encompassing the design and requirements gathering phases. By incorporating automated security checks within the CI/CD pipeline, developers can detect security issues early and minimize the chance of security gap | Tool Vulnerability Threat Cloud | Uber | ★★★ |
 |
2023-10-26 08:49:41 | Increasing transparency in AI security (lien direct) | Mihai Maruseac, Sarah Meiklejohn, Mark Lodato, Google Open Source Security Team (GOSST)New AI innovations and applications are reaching consumers and businesses on an almost-daily basis. Building AI securely is a paramount concern, and we believe that Google\'s Secure AI Framework (SAIF) can help chart a path for creating AI applications that users can trust. Today, we\'re highlighting two new ways to make information about AI supply chain security universally discoverable and verifiable, so that AI can be created and used responsibly. The first principle of SAIF is to ensure that the AI ecosystem has strong security foundations. In particular, the software supply chains for components specific to AI development, such as machine learning models, need to be secured against threats including model tampering, data poisoning, and the production of harmful content. Even as machine learning and artificial intelligence continue to evolve rapidly, some solutions are now within reach of ML creators. We\'re building on our prior work with the Open Source Security Foundation to show how ML model creators can and should protect against ML supply chain attacks by using | Malware Tool Vulnerability Threat Cloud | ★★ | |
 |
2023-10-26 08:43:33 | Smart Pension lance un programme de divulgation de vulnérabilité sur Intigriti Smart Pension launches a Vulnerability Disclosure Program on Intigriti (lien direct) |
> Smart Pension, l'une des sociétés de technologie financière à la croissance la plus rapide au Royaume-Uni, lance son programme de divulgation de vulnérabilité (VDP).Depuis le lancement de Smart Pension \\ en 2014, ils se sont engagés à améliorer la vie des employeurs et des épargnants au Royaume-Uni.Fondés par Andrew Evans et Will Wynne, ils ont rassemblé leur expertise financière et technologique avec [& # 8230;]
>Smart Pension, one of the fastest-growing financial technology companies in the UK, is launching its Vulnerability Disclosure Program (VDP). Ever since Smart Pension\'s launch in 2014, they\'ve been committed to improving lives for employers and savers in the UK. Founded by Andrew Evans and Will Wynne, they brought together their financial and technological expertise with […] |
Vulnerability | ★★ | |
|
2023-10-26 08:00:33 | Google\\'s reward criteria for reporting bugs in AI products (lien direct) | Eduardo Vela, Jan Keller and Ryan Rinaldi, Google Engineering In September, we shared how we are implementing the voluntary AI commitments that we and others in industry made at the White House in July. One of the most important developments involves expanding our existing Bug Hunter Program to foster third-party discovery and reporting of issues and vulnerabilities specific to our AI systems. Today, we\'re publishing more details on these new reward program elements for the first time. Last year we issued over $12 million in rewards to security researchers who tested our products for vulnerabilities, and we expect today\'s announcement to fuel even greater collaboration for years to come. What\'s in scope for rewards In our recent AI Red Team report, we identified common tactics, techniques, and procedures (TTPs) that we consider most relevant and realistic for real-world adversaries to use against AI systems. The following table incorporates shared learnings from | Tool Vulnerability | ★★ | |
|
2023-10-26 05:15:26 | CVE-2023-5139 (lien direct) | Vulnérabilité de débordement de tampon potentiel à l'emplacement suivant dans le pilote de crypto Zephyr STM32
Potential buffer overflow vulnerability at the following location in the Zephyr STM32 Crypto driver |
Vulnerability | ||
|
2023-10-25 22:15:09 | CVE-2023-46584 (lien direct) | La vulnérabilité de l'injection SQL dans le virus du virus PHPGURUKUL NIPAH (NIV) "Le système de gestion des tests V.1.0 permet à un attaquant distant de dégénérer les privilèges via une demande fabriquée au point de terminaison du nouvel utilisateur-test.php.
SQL Injection vulnerability in PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 allows a remote attacker to escalate privileges via a crafted request to the new-user-testing.php endpoint. |
Vulnerability | ||
|
2023-10-25 22:15:09 | CVE-2023-46583 (lien direct) | Vulnérabilité des scripts croisés (XSS) dans le virus PHPGurukul Nipah (NIV) "Testing Management System V.1.0Permet aux attaquants d'exécuter du code arbitraire via une charge utile fabriquée injectée dans le champ d'état.
Cross-Site Scripting (XSS) vulnerability in PHPGurukul Nipah virus (NiV) " Testing Management System v.1.0 allows attackers to execute arbitrary code via a crafted payload injected into the State field. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46419 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_415730.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_415730 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46423 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_417094.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_417094 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46422 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert qu'il contenait une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_411994.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_411994 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46421 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande distante (RCE) via la fonction Sub_411d00.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_411D00 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46420 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_41590C.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_41590C function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46424 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_422BD4.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_422BD4 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46418 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_412688.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_412688 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46417 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande éloignée (RCE) via la fonction Sub_415498.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_415498 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46409 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande via la fonction Sub_ 41CC04.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_ 41CC04 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46416 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert qu'il contenait une vulnérabilité d'exécution de commande distante (RCE) via la fonction SUB_ la fonction 41A414.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_ The 41A414 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46412 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande via la fonction Sub_41D998.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_41D998 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46408 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert qu'il contenait une vulnérabilité d'exécution de commande via la fonction SUB_ la fonction 41DD80.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_ The 41DD80 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46411 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande via la fonction Sub_415258.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_415258 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46410 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert qu'il contenait une vulnérabilité d'exécution de commande via la fonction SUB_ la fonction 416F60.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_ The 416F60 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46413 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande via la fonction Sub_4155DC.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a command execution vulnerability via the sub_4155DC function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46414 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande distante (RCE) via la fonction Sub_ 41D494.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_ 41D494 function. |
Vulnerability | ||
|
2023-10-25 20:15:12 | CVE-2023-46415 (lien direct) | TOTOLINK X6000R V9.4.0CU.652_B20230116 a été découvert pour contenir une vulnérabilité d'exécution de commande distante (RCE) via la fonction Sub_41E588.
TOTOLINK X6000R v9.4.0cu.652_B20230116 was discovered to contain a remote command execution (RCE) vulnerability via the sub_41E588 function. |
Vulnerability | ||
 |
2023-10-25 19:25:25 | Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers (lien direct) | #### Description
ESET Research découvre des campagnes par le groupe Winter Vivern APT qui exploite une vulnérabilité XSS zéro-jour dans le serveur de la carte Web Roundcube et cible les entités gouvernementales et un groupe de réflexion en Europe.Pour compromettre ses objectifs, le groupe utilise des documents malveillants, des sites Web de phishing et une porte dérobée PowerShell personnalisée.L'exploitation de la vulnérabilité XSS, attribuée CVE-2023-5631, peut se faire à distance en envoyant un e-mail spécialement conçu.
#### URL de référence (s)
1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploitts-zero-ay-vulnerabilité-loundcube-webmail-servers/
#### Date de publication
25 octobre 2023
#### Auteurs)
Matthieu faou
#### Description ESET Research discover campaigns by the Winter Vivern APT group that exploit a zero-day XSS vulnerability in the Roundcube Webmail server and target governmental entities and a think tank in Europe. To compromise its targets, the group uses malicious documents, phishing websites, and a custom PowerShell backdoor. Exploitation of the XSS vulnerability, assigned CVE-2023-5631, can be done remotely by sending a specially crafted email message. #### Reference URL(s) 1. https://www.welivesecurity.com/en/eset-research/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers/ #### Publication Date October 25, 2023 #### Author(s) Matthieu Faou |
Vulnerability Threat | ★★★ | |
|
2023-10-25 18:50:00 | Des pirates d'État nationaux exploitant zéro-jour dans un logiciel de cmaillé Roundcube Nation State Hackers Exploiting Zero-Day in Roundcube Webmail Software (lien direct) |
L'acteur de menace connu sous le nom de Winter Vivern a été observé exploitant un défaut zéro-jour dans le logiciel de la carte Web Roundcube le 11 octobre 2023 pour récolter les messages e-mail des comptes des victimes.
"Winter Vivern a intensifié ses opérations en utilisant une vulnérabilité zéro-jour dans Roundcube", a déclaré le chercheur en sécurité de l'ESET Matthieu Faou dans un nouveau rapport publié aujourd'hui.Auparavant, il utilisait connu
The threat actor known as Winter Vivern has been observed exploiting a zero-day flaw in Roundcube webmail software on October 11, 2023, to harvest email messages from victims\' accounts. "Winter Vivern has stepped up its operations by using a zero-day vulnerability in Roundcube," ESET security researcher Matthieu Faou said in a new report published today. Previously, it was using known |
Vulnerability Threat | ★★ | |
|
2023-10-25 18:17:45 | CVE-2023-5758 (lien direct) | Lors de l'ouverture d'une page en mode lecteur, l'URL de redirection aurait pu provoquer l'exécution du script contrôlé par l'attaquant dans une attaque de script de site transversale réfléchie (XSS).Cette vulnérabilité affecte Firefox pour iOS | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5723 (lien direct) | Un attaquant avec un accès de script temporaire à un site aurait pu définir un cookie contenant des caractères non valides en utilisant `document.cookie` qui aurait pu entraîner des erreurs inconnues.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5731 (lien direct) | Des bogues de sécurité de la mémoire présents dans Firefox 118. Certains de ces bogues ont montré des preuves de corruption de la mémoire et nous supposons qu'avec suffisamment d'effort, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5722 (lien direct) | En utilisant des demandes itératives, un attaquant a pu apprendre la taille d'une réponse opaque, ainsi que le contenu d'un en-tête varié fourni par le serveur.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5724 (lien direct) | Les conducteurs ne sont pas toujours robustes à des appels de tirage extrêmement importants et, dans certains cas, ce scénario aurait pu conduire à un accident.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5725 (lien direct) | Une WEBExtension installée malveillante pourrait ouvrir des URL arbitraires, qui dans les bonnes circonstances pourraient être exploitées pour collecter des données utilisateur sensibles.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5730 (lien direct) | Bogues de sécurité de la mémoire présente dans Firefox 118, Firefox ESR 115.3 et Thunderbird 115.3.Certains de ces bogues ont montré des preuves de corruption de la mémoire et nous supposons qu'avec suffisamment d'effort, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5729 (lien direct) | Un site Web malveillant peut entrer en mode plein écran tout en déclenchant simultanément une invite WebAuthn.Cela aurait pu obscurcir la notification en plein écran et aurait pu être exploité dans une attaque d'usurpation.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5728 (lien direct) | Pendant la collecte des ordures, des opérations supplémentaires ont été effectuées sur un objet qui ne devrait pas l'être.Cela aurait pu conduire à un accident potentiellement exploitable.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5727 (lien direct) | L'avertissement de fichier exécutable n'a pas été présenté lors du téléchargement des fichiers .msix, .msixbundle, .appx et .appxbundle, qui peuvent exécuter des commandes sur l'ordinateur d'un utilisateur \\. * Remarque: ce problème n'a affecté que les systèmes d'exploitation Windows.D'autres systèmes d'exploitation ne sont pas affectés. * Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5726 (lien direct) | Un site Web aurait pu obscurcir la notification en plein écran en utilisant la boîte de dialogue Open Fichier.Cela aurait pu conduire à la confusion de l'utilisateur et à d'éventuelles attaques d'usurpation. * Remarque: ce problème n'a affecté que les systèmes d'exploitation macOS.D'autres systèmes d'exploitation ne sont pas affectés. * Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5746 (lien direct) | Une vulnérabilité concernant l'utilisation de la chaîne de format contrôlée à l'extérieur se trouve dans le composant CGI.Cela permet aux attaquants distants d'exécuter du code arbitraire via des vecteurs non spécifiés.Les modèles suivants avec des versions de micrologiciel de la caméra Synology avant 1.0.5-0185 peuvent être affectés: BC500 et TC500.
A vulnerability regarding use of externally-controlled format string is found in the cgi component. This allows remote attackers to execute arbitrary code via unspecified vectors. The following models with Synology Camera Firmware versions before 1.0.5-0185 may be affected: BC500 and TC500. |
Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5752 (lien direct) | Lors de l'installation d'un package à partir d'une URL Mercurial VCS (c'est-à-dire "
Hg + ... ") avec PIP avant V23.3, la révision mercurielle spécifiée pourrait
être utilisé pour injecter des options de configuration arbitraires au "clone Hg"
Appelez (c'est-à-dire "- Config").Le contrôle de la configuration mercurielle peut modifier
comment et quel référentiel est installé.Cette vulnérabilité ne
affecter les utilisateurs qui ne sont pas installés à partir de Mercurial.
When installing a package from a Mercurial VCS URL (ie "pip install hg+...") with pip prior to v23.3, the specified Mercurial revision could be used to inject arbitrary configuration options to the "hg clone" call (ie "--config"). Controlling the Mercurial configuration can modify how and which repository is installed. This vulnerability does not affect users who aren\'t installing from Mercurial. |
Vulnerability | ||
|
2023-10-25 18:17:44 | CVE-2023-5732 (lien direct) | Un attaquant aurait pu créer un lien malveillant en utilisant des caractères bidirectionnels pour usurper l'emplacement dans la barre d'adresse lors de la visite.Cette vulnérabilité affecte Firefox | Vulnerability | ||
|
2023-10-25 18:17:43 | CVE-2023-5568 (lien direct) | Un défaut de débordement de tampon basé sur un tas a été découvert en samba.Il pourrait permettre à un attaquant éloigné et authentifié d'exploiter cette vulnérabilité pour provoquer un déni de service.
A heap-based Buffer Overflow flaw was discovered in Samba. It could allow a remote, authenticated attacker to exploit this vulnerability to cause a denial of service. |
Vulnerability Threat |
To see everything:
Our RSS (filtrered)
