What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-05 18:15:12 | CVE-2023-43069 (lien direct) | Dell SmartFabric Storage Software v1.4 (et plus tôt) contiennent une vulnérabilité d'injection de commande OS dans la CLI.Un attaquant local authentifié pourrait potentiellement exploiter cette vulnérabilité, conduisant à une éventuelle injection de paramètres à boucler ou à docker.
Dell SmartFabric Storage Software v1.4 (and earlier) contain(s) an OS Command Injection Vulnerability in the CLI. An authenticated local attacker could potentially exploit this vulnerability, leading to possible injection of parameters to curl or docker. |
Vulnerability | ||
|
2023-10-05 16:15:12 | CVE-2023-44837 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre de mot de passe dans la fonction SetWansettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the Password parameter in the SetWanSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:12 | CVE-2023-44839 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre de chiffrement dans la fonction SetWlanRadiosEcurity.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the Encryption parameter in the SetWLanRadioSecurity function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:12 | CVE-2023-44838 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre TXPower dans la fonction SetWlanRadiOSettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the TXPower parameter in the SetWLanRadioSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44829 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre Adminpassword dans la fonction SetDevicesEttings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the AdminPassword parameter in the SetDeviceSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44835 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre MAC dans la fonction SetParentsControLinfo.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the Mac parameter in the SetParentsControlInfo function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44836 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre SSID dans la fonction SetWlanRadiOSettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the SSID parameter in the SetWLanRadioSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44833 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre GuardInt dans la fonction SetWlanRadiOSettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the GuardInt parameter in the SetWLanRadioSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44834 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre de démarrage dans la fonction SetParentsControLinfo.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the StartTime parameter in the SetParentsControlInfo function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44831 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre de type dans la fonction SetWlanRadiOSettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the Type parameter in the SetWLanRadioSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44828 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre CurrentPassword dans la fonction CheckPassWdsettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the CurrentPassword parameter in the CheckPasswdSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44830 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre de fin de temps dans la fonction SetParentsControLinfo.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the EndTime parameter in the SetParentsControlInfo function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 16:15:11 | CVE-2023-44832 (lien direct) | D-Link Dir-823G A1V1.0.2B05 a été découvert qu'il contenait un débordement de tampon via le paramètre MacAddress dans la fonction SETWANSettings.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
D-Link DIR-823G A1V1.0.2B05 was discovered to contain a buffer overflow via the MacAddress parameter in the SetWanSettings function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-05 14:15:09 | CVE-2023-44390 (lien direct) | HTMLSanitizer est une bibliothèque .NET pour nettoyer les fragments HTML et les documents à partir de constructions qui peuvent conduire à des attaques XSS.La vulnérabilité se produit dans les configurations où le contenu étranger est autorisé, c'est-à-dire que «SVG» ou «Math» figurent dans la liste des éléments autorisés.Dans le cas où une application désinfecte la saisie des utilisateurs avec une configuration vulnérable, un attaquant pourrait contourner la désinfection et injecter un HTML arbitraire, y compris le code JavaScript.Notez que dans la configuration par défaut, la vulnérabilité n'est pas présente.La vulnérabilité a été fixée dans les versions 8.0.723 et 8.1.722-beta (version de prévisualisation).
HtmlSanitizer is a .NET library for cleaning HTML fragments and documents from constructs that can lead to XSS attacks. The vulnerability occurs in configurations where foreign content is allowed, i.e. either `svg` or `math` are in the list of allowed elements. In the case an application sanitizes user input with a vulnerable configuration, an attacker could bypass the sanitization and inject arbitrary HTML, including JavaScript code. Note that in the default configuration the vulnerability is not present. The vulnerability has been fixed in versions 8.0.723 and 8.1.722-beta (preview version). |
Vulnerability | ||
|
2023-10-04 22:15:09 | CVE-2023-43321 (lien direct) | La vulnérabilité de téléchargement de fichiers dans Digital China Networks DCFW-1800-SDC V.3.0 permet à un attaquant authentifié d'exécuter du code arbitraire via la fonction WGET dans le composant /sbin/cloudadmin.sh.
File Upload vulnerability in Digital China Networks DCFW-1800-SDC v.3.0 allows an authenticated attacker to execute arbitrary code via the wget function in the /sbin/cloudadmin.sh component. |
Vulnerability | ||
|
2023-10-04 22:15:09 | CVE-2023-43877 (lien direct) | Rite CMS 3.0 possède plusieurs vulnérabilités de script inter-sites (XSS) qui permettent aux attaquants d'exécuter du code arbitraire via une charge utile fabriquée dans les champs de page d'accueil dans le menu d'administration.
Rite CMS 3.0 has Multiple Cross-Site scripting (XSS) vulnerabilities that allow attackers to execute arbitrary code via a payload crafted in the Home Page fields in the Administration menu. |
Vulnerability | ||
|
2023-10-04 21:15:10 | CVE-2023-43809 (lien direct) | Soft Serve est un serveur GIT auto-hébercable pour la ligne de commande.Avant la version 0.6.2, une vulnérabilité de sécurité dans Soft Service pourrait permettre à un attaquant distant non authentifié de contourner l'authentification de la clé publique lorsque l'authentification SSH interactive au clavier est active, via le paramètre «Autor-Keyless», et la clé publique nécessite un client supplémentaire- Vérification de la place par exemple en utilisant FIDO2 ou GPG.Cela est dû aux procédures de validation insuffisantes de l'étape de clé publique pendant la demande de main de demande SSH, accordant un accès non autorisé si le mode d'interaction du clavier est utilisé.Un attaquant pourrait exploiter cette vulnérabilité en présentant des demandes SSH manipulées en utilisant le mode d'authentification interactif du clavier.Cela pourrait potentiellement entraîner un accès non autorisé au service doux.Les utilisateurs doivent passer à la dernière version Soft Serve `V0.6.2` pour recevoir le correctif pour ce problème.Pour contourner cette vulnérabilité sans mise à niveau, les utilisateurs peuvent temporairement désactiver l'authentification SSH du clavier-interactif à l'aide du paramètre `perte-keyless».
Soft Serve is a self-hostable Git server for the command line. Prior to version 0.6.2, a security vulnerability in Soft Serve could allow an unauthenticated, remote attacker to bypass public key authentication when keyboard-interactive SSH authentication is active, through the `allow-keyless` setting, and the public key requires additional client-side verification for example using FIDO2 or GPG. This is due to insufficient validation procedures of the public key step during SSH request handshake, granting unauthorized access if the keyboard-interaction mode is utilized. An attacker could exploit this vulnerability by presenting manipulated SSH requests using keyboard-interactive authentication mode. This could potentially result in unauthorized access to the Soft Serve. Users should upgrade to the latest Soft Serve version `v0.6.2` to receive the patch for this issue. To workaround this vulnerability without upgrading, users can temporarily disable Keyboard-Interactive SSH Authentication using the `allow-keyless` setting. |
Vulnerability | ||
|
2023-10-04 20:15:10 | CVE-2023-44075 (lien direct) | La vulnérabilité des scripts du site croisé dans le petit CRM dans PHP V.3.0 permet à un attaquant distant d'exécuter du code arbitraire via une charge utile fabriquée au paramètre d'adresse.
Cross Site Scripting vulnerability in Small CRM in PHP v.3.0 allows a remote attacker to execute arbitrary code via a crafted payload to the Address parameter. |
Vulnerability | ||
|
2023-10-04 19:15:10 | CVE-2023-27121 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans le composant / framework / cron / action / humanize of Pleasant Solutions Pleasant Password Server V7.11.41.0 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre cronarien.
A cross-site scripting (XSS) vulnerability in the component /framework/cron/action/humanize of Pleasant Solutions Pleasant Password Server v7.11.41.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the cronString parameter. |
Vulnerability | ||
|
2023-10-04 19:15:10 | CVE-2023-3428 (lien direct) | Une vulnérabilité de débordement de tampon basée sur un tas a été trouvée dans Coders / Tiff.c dans ImageMagick.Ce problème peut permettre à un attaquant local de inciter l'utilisateur à ouvrir un fichier spécialement conçu, entraînant un accident de demande et un déni de service.
A heap-based buffer overflow vulnerability was found in coders/tiff.c in ImageMagick. This issue may allow a local attacker to trick the user into opening a specially crafted file, resulting in an application crash and denial of service. |
Vulnerability | ||
|
2023-10-04 18:15:12 | CVE-2023-5402 (lien direct) | A? CWE-269: une vulnérabilité de gestion des privilèges incorrecte existe?
A?CWE-269: Improper Privilege Management vulnerability exists?that could cause?a local privilege escalation?when the transfer command is used. |
Vulnerability | ||
|
2023-10-04 17:15:09 | CVE-2023-20235 (lien direct) | Une vulnérabilité dans la fonction de flux de travail de développement d'applications sur l'application pour l'infrastructure d'hébergement de l'application Cisco IOX dans le logiciel Cisco iOS XE pourrait permettre un attaquant distant authentifié pour accéder au système d'exploitation sous-jacent en tant qu'utilisateur racine.
Cette vulnérabilité existe car les conteneurs Docker avec l'option d'exécution privilégiée ne sont pas bloqués lorsqu'ils sont en mode de développement d'applications.Un attaquant pourrait exploiter cette vulnérabilité en utilisant la CLI Docker pour accéder à un appareil affecté.Le flux de travail de développement des applications est censé être utilisé uniquement sur les systèmes de développement et non dans les systèmes de production.
A vulnerability in the on-device application development workflow feature for the Cisco IOx application hosting infrastructure in Cisco IOS XE Software could allow an authenticated, remote attacker to access the underlying operating system as the root user. This vulnerability exists because Docker containers with the privileged runtime option are not blocked when they are in application development mode. An attacker could exploit this vulnerability by using the Docker CLI to access an affected device. The application development workflow is meant to be used only on development systems and not in production systems. |
Vulnerability | ||
|
2023-10-04 17:15:09 | CVE-2023-20101 (lien direct) | Une vulnérabilité dans le répondeur d'urgence Cisco pourrait permettre à un attaquant distant non authentifié de se connecter à un appareil affecté en utilisant le compte racine, qui a des informations d'identification statiques par défaut qui ne peuvent pas être modifiées ou supprimées.
Cette vulnérabilité est due à la présence d'identification utilisateur statique pour le compte racine qui sont généralement réservés à une utilisation pendant le développement.Un attaquant pourrait exploiter cette vulnérabilité en utilisant le compte pour se connecter à un système affecté.Un exploit réussi pourrait permettre à l'attaquant de se connecter au système affecté et d'exécuter des commandes arbitraires en tant qu'utilisateur racine.
A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted. This vulnerability is due to the presence of static user credentials for the root account that are typically reserved for use during development. An attacker could exploit this vulnerability by using the account to log in to an affected system. A successful exploit could allow the attacker to log in to the affected system and execute arbitrary commands as the root user. |
Vulnerability | ||
|
2023-10-04 17:15:09 | CVE-2023-20259 (lien direct) | Une vulnérabilité dans un point d'évaluation de l'API de plusieurs produits Cisco Unified Communications pourrait permettre à un attaquant distant non authentifié de provoquer une utilisation élevée du processeur, ce qui pourrait avoir un impact sur l'accès à l'interface de gestion basée sur le Web et provoque des retards avec le traitement des appels.Cette API n'est pas utilisée pour la gestion des appareils et est peu susceptible d'être utilisée dans les opérations normales de l'appareil.
Cette vulnérabilité est due à une authentification API incorrecte et à une validation incomplète de la demande d'API.Un attaquant pourrait exploiter cette vulnérabilité en envoyant une demande HTTP fabriquée à une API spécifique sur l'appareil.Un exploit réussi pourrait permettre à l'attaquant de provoquer une condition de déni de service (DOS) en raison d'une utilisation élevée du processeur, ce qui pourrait avoir un impact négatif sur le trafic utilisateur et l'accès à la gestion.Lorsque l'attaque s'arrête, l'appareil se remet sans intervention manuelle.
A vulnerability in an API endpoint of multiple Cisco Unified Communications Products could allow an unauthenticated, remote attacker to cause high CPU utilization, which could impact access to the web-based management interface and cause delays with call processing. This API is not used for device management and is unlikely to be used in normal operations of the device. This vulnerability is due to improper API authentication and incomplete validation of the API request. An attacker could exploit this vulnerability by sending a crafted HTTP request to a specific API on the device. A successful exploit could allow the attacker to cause a denial of service (DoS) condition due to high CPU utilization, which could negatively impact user traffic and management access. When the attack stops, the device will recover without manual intervention. |
Vulnerability | ||
|
2023-10-04 16:15:10 | CVE-2022-36276 (lien direct) | TCMAN GIM V8.0.1 est vulnérable à une injection SQL via le paramètre \\ 'sqwhere \' à l'intérieur de la fonction \\ 'buscaresm \'.L'exploitation de cette vulnérabilité pourrait permettre à un attaquant distant d'interagir directement avec la base de données.
TCMAN GIM v8.0.1 is vulnerable to a SQL injection via the \'SqlWhere\' parameter inside the function \'BuscarESM\'. The exploitation of this vulnerability might allow a remote attacker to directly interact with the database. |
Vulnerability | ||
|
2023-10-04 16:15:10 | CVE-2023-43838 (lien direct) | Une vulnérabilité de téléchargement de fichiers arbitraires dans le système de gestion personnelle V1.4.64 permet aux attaquants d'exécuter du code arbitraire via le téléchargement d'un fichier SVG fabriqué dans un avatar d'un profil utilisateur \\.
An arbitrary file upload vulnerability in Personal Management System v1.4.64 allows attackers to execute arbitrary code via uploading a crafted SVG file into a user profile\'s avatar. |
Vulnerability | ||
|
2023-10-04 16:15:09 | CVE-2021-3784 (lien direct) | Garuda Linux effectue une création et une authentification d'utilisateurs non sécurisées qui permettent à tout utilisateur d'identifier le compte créé.En créant des utilisateurs à partir du \\ 'GARUDA Settings Manager \', une procédure en insécurité est effectuée qui maintient l'utilisateur créé sans mot de passe attribué pendant quelques secondes.Cela pourrait permettre à un attaquant potentiel d'exploiter cette vulnérabilité afin de s'authentifier sans connaître le mot de passe.
Garuda Linux performs an insecure user creation and authentication that allows any user to impersonate the created account. By creating users from the \'Garuda settings manager\', an insecure procedure is performed that keeps the created user without an assigned password during some seconds. This could allow a potential attacker to exploit this vulnerability in order to authenticate without knowing the password. |
Vulnerability | ||
|
2023-10-04 15:15:12 | CVE-2023-40559 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans les règles de prix dynamique et de réduction dynamiques pour le plugin wooCommerce | Vulnerability | ||
|
2023-10-04 15:15:12 | CVE-2023-3665 (lien direct) | Une vulnérabilité d'injection de code dans Trellix ENS 10.7.0 Avril 2023 Release et plus tôt, a permis à un utilisateur local de désactiver la composante ENS AMSI via des variables d'environnement,
conduisant au déni de service et ou à l'exécution du code arbitraire.
A code injection vulnerability in Trellix ENS 10.7.0 April 2023 release and earlier, allowed a local user to disable the ENS AMSI component via environment variables, leading to denial of service and or the execution of arbitrary code. |
Vulnerability | ||
|
2023-10-04 14:15:11 | CVE-2023-5374 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans l'ordinateur en ligne Sourcecodeter et la boutique d'ordinateur portable 1.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier productS.php.La manipulation de l'argument C conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-241255.
A vulnerability classified as critical was found in SourceCodester Online Computer and Laptop Store 1.0. Affected by this vulnerability is an unknown functionality of the file products.php. The manipulation of the argument c leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-241255. |
Vulnerability | ||
|
2023-10-04 14:15:10 | CVE-2023-40561 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le commerce de commerce électronique amélioré Google Analytics pour le plugin WooCommerce | Vulnerability | ||
|
2023-10-04 14:15:10 | CVE-2023-40684 (lien direct) | IBM Content Navigator 3.0.11, 3.0.13 et 3.0.14 avec IBM Daeja ViewOne Virtual est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 264019.
IBM Content Navigator 3.0.11, 3.0.13, and 3.0.14 with IBM Daeja ViewOne Virtual is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 264019. |
Vulnerability | ||
|
2023-10-04 14:15:10 | CVE-2023-27433 (lien direct) | La vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans l'équipe globale de YAS réalise des chemins de plume relative | Vulnerability | ||
|
2023-10-04 14:15:10 | CVE-2023-25025 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Chetan Gole WP-CopyProtect [Protégez vos articles de blog] Plugin | Vulnerability | ||
|
2023-10-04 14:15:10 | CVE-2023-22515 (lien direct) | Atlassian a été informé d'un problème rapporté par une poignée de clients où les attaquants externes peuvent avoir exploité une vulnérabilité auparavant inconnue dans les instances de centre de données et de serveurs accessibles au public pour créer des comptes d'administrateur de confluence non autorisés et des instances de confluence d'accès.
Les sites de nuages Atlassian ne sont pas affectés par cette vulnérabilité.Si votre site Confluence est accessible via un domaine atlassian.net, il est hébergé par Atlassian et n'est pas vulnérable à ce problème.
Pour plus de détails, veuillez consulter le conseil lié sur ce CVE.
Atlassian has been made aware of an issue reported by a handful of customers where external attackers may have exploited a previously unknown vulnerability in publicly accessible Confluence Data Center and Server instances to create unauthorized Confluence administrator accounts and access Confluence instances. Atlassian Cloud sites are not affected by this vulnerability. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not vulnerable to this issue. For more details, please review the linked advisory on this CVE. |
Vulnerability Cloud | ||
|
2023-10-04 13:15:26 | CVE-2023-5373 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans l'ordinateur en ligne Sourcecodeter et la boutique d'ordinateurs portables 1.0.Le registre affecté est le registre des fonctions du fichier maître.php.La manipulation de l'e-mail de l'argument conduit à l'injection SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-241254 est l'identifiant attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in SourceCodester Online Computer and Laptop Store 1.0. Affected is the function register of the file Master.php. The manipulation of the argument email leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-241254 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-04 13:15:26 | CVE-2023-4496 (lien direct) | Easy Chat Server, dans sa version 3.1 et avant, ne crypte pas suffisamment les entrées contrôlées par l'utilisateur, ce qui résulte d'une vulnérabilité de script de sites croisées (XSS) stockée via /body2.ghp (méthode post-méthode), dans le paramètre mtowho.
Easy Chat Server, in its 3.1 version and before, does not sufficiently encrypt user-controlled inputs, resulting in a Cross-Site Scripting (XSS) vulnerability stored via /body2.ghp (POST method), in the mtowho parameter. |
Vulnerability | ||
|
2023-10-04 13:15:26 | CVE-2023-4495 (lien direct) | Easy Chat Server, dans sa version 3.1 et avant, ne crypte pas suffisamment les entrées contrôlées par l'utilisateur, ce qui entraîne une vulnérabilité de script de site transversale (XSS) stockée via /gistresult.htm (méthode post-méthode), dans le paramètre de CV.Le XSS est chargé à partir de /gister.ghp.
Easy Chat Server, in its 3.1 version and before, does not sufficiently encrypt user-controlled inputs, resulting in a Cross-Site Scripting (XSS) vulnerability stored via /registresult.htm (POST method), in the Resume parameter. The XSS is loaded from /register.ghp. |
Vulnerability | ||
|
2023-10-04 13:15:26 | CVE-2023-4494 (lien direct) | Vulnérabilité de débordement de tampon basé sur la pile dans la version Easy Chat Server 3.1.Un attaquant peut envoyer une chaîne de nom d'utilisateur excessivement long au fichier registre.ghp demandant le nom via une demande GET entraînant une exécution de code arbitraire sur la machine distante.
Stack-based buffer overflow vulnerability in Easy Chat Server 3.1 version. An attacker could send an excessively long username string to the register.ghp file asking for the name via a GET request resulting in arbitrary code execution on the remote machine. |
Vulnerability | ||
|
2023-10-04 13:15:26 | CVE-2023-4497 (lien direct) | Easy Chat Server, dans sa version 3.1 et avant, ne crypte pas suffisamment les entrées contrôlées par l'utilisateur, ce qui entraîne une vulnérabilité de script de site transversale (XSS) stockée via /gistresult.htm (méthode post-méthode), dans le paramètre de l'icône.Le XSS est chargé à partir de /users.ghp.
Easy Chat Server, in its 3.1 version and before, does not sufficiently encrypt user-controlled inputs, resulting in a Cross-Site Scripting (XSS) vulnerability stored via /registresult.htm (POST method), in the Icon parameter. The XSS is loaded from /users.ghp. |
Vulnerability | ||
|
2023-10-04 13:15:25 | CVE-2023-4493 (lien direct) | Scénarisation entre le site transversal dans la version Web du serveur Web d'adresses faciles 1.6, via le fichier USERS_ADMIN.GHP qui affecte plusieurs paramètres tels que (FirstName, HomePhone, LastName, LastName, Middlename, WorkAddress, WorkCity, Workcountry, Workphone, Workstate, Workzip).Cette vulnérabilité permet à un attaquant distant de stocker une charge utile JavaScript malveillante dans l'application d'être exécutée lorsque la page est chargée, ce qui entraîne un impact d'intégrité.
Stored Cross-Site Scripting in Easy Address Book Web Server 1.6 version, through the users_admin.ghp file that affects multiple parameters such as (firstname, homephone, lastname, lastname, middlename, workaddress, workcity, workcountry, workphone, workstate, workzip). This vulnerability allows a remote attacker to store a malicious JavaScript payload in the application to be executed when the page is loaded, resulting in an integrity impact. |
Vulnerability | ||
|
2023-10-04 13:15:25 | CVE-2023-4492 (lien direct) | Vulnérabilité dans le serveur Web de livre d'adresses facile 1.6 Version, affectant les paramètres (FirstName, Homephone, LastName, Middlename, WorkAddress, WorkCity, Workcountry, Workphone, Workstate et Workzip) du fichier /addrbook.GHP, permettant à un attaquant d'injecter une charge utile Javascript.spécialement conçu pour s'exécuter lorsque l'application est chargée
Vulnerability in Easy Address Book Web Server 1.6 version, affecting the parameters (firstname, homephone, lastname, middlename, workaddress, workcity, workcountry, workphone, workstate and workzip) of the /addrbook.ghp file, allowing an attacker to inject a JavaScript payload specially designed to run when the application is loaded |
Vulnerability | ||
|
2023-10-04 13:15:25 | CVE-2023-4491 (lien direct) | Vulnérabilité de débordement de tampon dans le serveur Web de livre d'adresses facile 1.6 Version.L'exploitation de cette vulnérabilité pourrait permettre à un attaquant d'envoyer une très longue chaîne de nom d'utilisateur à /searchbook.ghp, demandant le nom via une demande de poste, entraînant une exécution de code arbitraire sur la machine distante.
Buffer overflow vulnerability in Easy Address Book Web Server 1.6 version. The exploitation of this vulnerability could allow an attacker to send a very long username string to /searchbook.ghp, asking for the name via a POST request, resulting in arbitrary code execution on the remote machine. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-4037 (lien direct) | Vulnérabilité d'injection SQL aveugle dans l'interface Web ConacWin 3.7.1.2, dont l'exploitation pourrait permettre à un attaquant local d'obtenir des données sensibles stockées dans la base de données en envoyant une requête SQL spécialement conçue au paramètre XML.
Blind SQL injection vulnerability in the Conacwin 3.7.1.2 web interface, the exploitation of which could allow a local attacker to obtain sensitive data stored in the database by sending a specially crafted SQL query to the xml parameter. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-3038 (lien direct) | Vulnérabilité de l'injection SQL dans la communauté Helpdezk affectant la version 1.1.10.Cette vulnérabilité pourrait permettre à un attaquant distant d'envoyer une requête SQL spécialement conçue au paramètre des lignes de la route Jsongrid et d'extraire toutes les informations stockées dans l'application.
SQL injection vulnerability in HelpDezk Community affecting version 1.1.10. This vulnerability could allow a remote attacker to send a specially crafted SQL query to the rows parameter of the jsonGrid route and extract all the information stored in the application. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-4090 (lien direct) | Le script de site transversal (XSS) a reflété la vulnérabilité sur la version plus large et 5.3.5, qui génère l'une des balises Meta directement en utilisant le contenu de l'URL interrogé, qui permettrait à un attaquant d'injecter du code HTML / JavaScript dans la réponse.
Cross-site Scripting (XSS) reflected vulnerability on WideStand until 5.3.5 version, which generates one of the meta tags directly using the content of the queried URL, which would allow an attacker to inject HTML/Javascript code into the response. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-3037 (lien direct) | Une mauvaise vulnérabilité d'autorisation dans la communauté Helpdezk affectant la version 1.1.10.Cette vulnérabilité pourrait permettre à un attaquant distant d'accéder à la plate-forme sans authentification et de récupérer des données personnelles via le paramètre jsongrid.
Improper authorization vulnerability in HelpDezk Community affecting version 1.1.10. This vulnerability could allow a remote attacker to access the platform without authentication and retrieve personal data via the jsonGrid parameter. |
Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-2809 (lien direct) | Vulnérabilité d'utilisation des informations d'identification en clair dans la version Sage 200 Espagne 2023.38.001, dont l'exploitation pourrait permettre à un attaquant distant d'extraire les informations d'identification de la base de données SQL de l'application DLL.Cette vulnérabilité pourrait être liée à des techniques connues pour obtenir une exécution à distance des commandes MS SQL et augmenter les privilèges sur les systèmes Windows car les informations d'identification sont stockées en texte en clair.
Plaintext credential usage vulnerability in Sage 200 Spain 2023.38.001 version, the exploitation of which could allow a remote attacker to extract SQL database credentials from the DLL application. This vulnerability could be linked to known techniques to obtain remote execution of MS SQL commands and escalate privileges on Windows systems because the credentials are stored in plaintext. |
Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-4586 (lien direct) | Une vulnérabilité a été trouvée dans le client Hot Rod.Ce problème de sécurité se produit car le client Hot Rod ne permet pas la validation du nom d'hôte lors de l'utilisation de TLS, entraînant peut-être une attaque de l'homme dans le milieu (MITM).
A vulnerability was found in the Hot Rod client. This security issue occurs as the Hot Rod client does not enable hostname validation when using TLS, possibly resulting in a man-in-the-middle (MITM) attack. |
Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-25980 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Cage Web Design |Rolf Van Gelder optimiser la base de données après la suppression du plugin de révisions | Vulnerability |
To see everything:
Our RSS (filtrered)
