What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-25 18:17:36 | CVE-2023-46136 (lien direct) | Werkzug est une bibliothèque complète des applications Web WSGI.Si un téléchargement d'un fichier qui commence par CR ou LF, puis est suivi par des mégaoctets de données sans ces caractères: tous ces octets sont annexés en morceaux en bytearray interne et la recherche pour la limite est effectuée sur un tampon de croissance.Cela permet à un attaquant de provoquer un déni de service en envoyant des données en multiparte fabriquées à un point final qui l'analysera.La quantité de temps de CPU requise peut empêcher les processus de travail de gérer les demandes légitimes.Cette vulnérabilité a été corrigée dans la version 3.0.1.
Werkzeug is a comprehensive WSGI web application library. If an upload of a file that starts with CR or LF and then is followed by megabytes of data without these characters: all of these bytes are appended chunk by chunk into internal bytearray and lookup for boundary is performed on growing buffer. This allows an attacker to cause a denial of service by sending crafted multipart data to an endpoint that will parse it. The amount of CPU time required can block worker processes from handling legitimate requests. This vulnerability has been patched in version 3.0.1. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46126 (lien direct) | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans les environnements d'exécution, contribuant à appliquer les réglementations de confidentialité dans le code.L'application Web Fides permet aux utilisateurs de modifier le consentement et les avis de confidentialité tels que les bannières cookies.La vulnérabilité permet d'élaborer une charge utile dans l'URL de la politique de confidentialité qui déclenche l'exécution JavaScript lorsque l'avis de confidentialité est desservi par un site Web intégré.La portée du domaine du JavaScript exécuté est celle du site Web intégré.L'exploitation est limitée aux utilisateurs d'administration d'administration avec le rôle de contributeur ou plus.La vulnérabilité a été corrigée dans la version Fides `2.22.1`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in runtime environments, helping enforce privacy regulations in code. The Fides web application allows users to edit consent and privacy notices such as cookie banners. The vulnerability makes it possible to craft a payload in the privacy policy URL which triggers JavaScript execution when the privacy notice is served by an integrated website. The domain scope of the executed JavaScript is that of the integrated website. Exploitation is limited to Admin UI users with the contributor role or higher. The vulnerability has been patched in Fides version `2.22.1`. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46151 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin d'arborescence de catégorie de produits Togi Awesome | Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46125 (lien direct) | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans un environnement d'exécution et l'application des réglementations de confidentialité dans le code.L'API Fides WebServer permet aux utilisateurs de récupérer sa configuration à l'aide de l'API `Get API / V1 / Config` Point.Les données de configuration sont filtrées pour supprimer les informations de configuration les plus sensibles avant qu'elles ne soient renvoyées à l'utilisateur, mais même les données filtrées contiennent des informations sur les internes et l'infrastructure backend, telles que divers paramètres, serveurs & acirc; & euro; & commerce;Adresses et ports et nom d'utilisateur de base de données.Ces informations sont utiles pour les utilisateurs administratifs ainsi que pour les attaquants, il ne faut donc pas révéler aux utilisateurs peu privilégiés.Cette vulnérabilité permet aux utilisateurs de l'interface utilisateur d'administration avec des rôles inférieurs au rôle du propriétaire, par exempleLe rôle de la visionneuse pour récupérer les informations de configuration à l'aide de l'API.La vulnérabilité a été corrigée dans la version Fides `2.22.1`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides webserver API allows users to retrieve its configuration using the `GET api/v1/config` endpoint. The configuration data is filtered to suppress most sensitive configuration information before it is returned to the user, but even the filtered data contains information about the internals and the backend infrastructure, such as various settings, servers’ addresses and ports and database username. This information is useful for administrative users as well as attackers, thus it should not be revealed to low-privileged users. This vulnerability allows Admin UI users with roles lower than the owner role e.g. the viewer role to retrieve the config information using the API. The vulnerability has been patched in Fides version `2.22.1`. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46135 (lien direct) | RS-stellar-Stryke est une lib rouille pour encoder / décodage de strkys stellaires.Une vulnérabilité de panique se produit lorsqu'une charge utile spécialement conçue est utilisée.`Inner_payload_len` ne devrait pas supérieure à 64. Cette vulnérabilité a été corrigée dans la version 0.0.8.
rs-stellar-strkey is a Rust lib for encode/decode of Stellar Strkeys. A panic vulnerability occurs when a specially crafted payload is used.`inner_payload_len` should not above 64. This vulnerability has been patched in version 0.0.8. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46119 (lien direct) | Parse Server est un backend open source qui peut être déployé dans n'importe quelle infrastructure qui peut exécuter Node.js.Le serveur d'analyse se bloque lors du téléchargement d'un fichier sans extension.Cette vulnérabilité a été corrigée dans les versions 5.5.6 et 6.3.1.
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Parse Server crashes when uploading a file without extension. This vulnerability has been patched in versions 5.5.6 and 6.3.1. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46152 (lien direct) | Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans RealMag777 Wolf & acirc; & euro; & ldquo;WordPress Posts Editor Bulk Editor and Manager Plugin professionnel | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45833 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Suite Leadsquared | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46068 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans Xqueue GmbH MailEon pour le plugin WordPress | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45832 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Martin Gibson WP GOTOWEBINAR | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45835 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de hub libsyn libsyn public | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45837 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans le plugin Xydac Ultimate Taxonomy Manager | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46069 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin de calendrier d'archives Osmansorkar Ajax | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45844 (lien direct) | La vulnérabilité permet à un utilisateur privilégié faible qui a accès à l'appareil lorsqu'ils sont verrouillés en mode kiosque pour installer une application Android arbitraire et le tirer parti pour avoir accès à des paramètres de périphérique critiques tels que la gestion de l'alimentation de l'appareil ou éventuellement les paramètres sécurisés de l'appareil (débogage de BAD).
The vulnerability allows a low privileged user that have access to the device when locked in Kiosk mode to install an arbitrary Android application and leverage it to have access to critical device settings such as the device power management or eventually the device secure settings (ADB debug). |
Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46070 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin Emmanuel Georjon eg-Attachments | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46071 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans ClickDatos Protecci & Atilde; & Sup3; N de Datos Rgpd Plugin | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45990 (lien direct) | La vulnérabilité des autorisations en insécurité dans WenwenaICMS V.1.0 permet à un attaquant distant de dégénérer les privilèges.
Insecure Permissions vulnerability in WenwenaiCMS v.1.0 allows a remote attacker to escalate privileges. |
Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45764 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le post de défilement gopi ramasamy
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Gopi Ramasamy Scroll post excerpt plugin |
Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45755 (lien direct) | Auth.(ADMIN +) Vulnérabilité de script inter-site stockée (XSS) dans BuddyBoss Buddypress Global Search Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45759 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans Peter Keung Peter & acirc; & euro; & Trade; s Plugin anti-spam personnalisé | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45772 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de relecture de scribit | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45758 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin d'administration transparent Marco Milesi | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45761 (lien direct) | Unauth.Vulnérabilité reflétée de scripts inter-sites (XSS) dans le plugin de plugin de rédaction Joovii Sendle | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45769 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de post de rapport Alex Raven WP | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45767 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin tweet simple wokamoto | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45768 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de la page suivante de Stephanie Leary | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45770 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de vitesse WP FastWPSpeed | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45756 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Spider Teams ApplyOnline & acirc; & euro; & ldquo;Formulaire d'application Builder et Manager Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45829 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans HappyBox Newsletter & amp;Expéditeur de courrier électronique en vrac & acirc; & euro; & ldquo;Email Newsletter Plugin for WordPress Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45555 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via un fichier fabriqué à la fonction Down_Url dans le fichier zzz.php.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via a crafted file to the down_url function in zzz.php file. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45754 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans I Treize Web Solution Easy Testimonial Slider and Form Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45750 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Posimyth Nexter Extension Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45640 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans Technowich Wp ulike & acirc; & euro; & ldquo;Plugin de boîte à outils de marketing WordPress la plus avancée | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45644 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin de générateur de raccourcis de short dehmukh CPT ANURAG DESHMUKH | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45634 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin BizTechc Copy ou Move Commentaires | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45554 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via la modification du paramètre ImageExt à partir de JPG, JPEG, GIF et PNG vers JPG, JPEG, GIF, PNG, PPHPHP.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via modification of the imageext parameter from jpg, jpeg,gif, and png to jpg, jpeg,gif, png, pphphp. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45637 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans EventPrime EventPrime & acirc; & euro; & ldquo;Calendrier des événements, Plugin de réservations et de billets | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45646 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de bloc HenryholtGeerts PDF | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45747 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Syed Balkhi WP Lightbox 2 | Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43510 (lien direct) | Une vulnérabilité dans l'interface de gestion de ClearPass Policy Manager & acirc; & nbsp;Un exploit réussi & acirc; & nbsp;
A vulnerability in the ClearPass Policy Manager web-based management interface allows remote authenticated users to run arbitrary commands on the underlying host. A successful exploit could allow an attacker to execute arbitrary commands as a non-privileged user on the underlying operating system leading to partial system compromise. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43509 (lien direct) | Une vulnérabilité dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager pourrait permettre à un attaquant non authentifié & acirc; & nbsp; à distance d'envoyer des notifications aux ordinateurs qui sont & acirc; & nbsp; exécuter ClearPass onguard.Ces notifications peuvent alors être & acirc; & nbsp; utilisées pour phish les utilisateurs ou les inciter à télécharger le logiciel MALICIED & acirc; & nbsp;
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an unauthenticated remote attacker to send notifications to computers that are running ClearPass OnGuard. These notifications can then be used to phish users or trick them into downloading malicious software. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-44767 (lien direct) | Une vulnérabilité de téléchargement de fichiers dans RiteCMS 3.0 permet à un attaquant local de télécharger un fichier SVG avec le contenu XSS.
A File upload vulnerability in RiteCMS 3.0 allows a local attacker to upload a SVG file with XSS content. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43795 (lien direct) | GeoServer est un serveur logiciel open source écrit en Java qui permet aux utilisateurs de partager et de modifier les données géospatiales.La spécification OGC Web Processing Service (WPS) est conçue pour traiter les informations de tout serveur à l'aide de demandes GET et POST.Cela présente l'opportunité de falsification des demandes côté serveur.Cette vulnérabilité a été corrigée dans les version 2.22.5 et 2.23.2.
GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. The OGC Web Processing Service (WPS) specification is designed to process information from any server using GET and POST requests. This presents the opportunity for Server Side Request Forgery. This vulnerability has been patched in version 2.22.5 and 2.23.2. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-44769 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans Zenario CMS V.9.4.59197 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué aux alias de rechange d'alias.
A Cross-Site Scripting (XSS) vulnerability in Zenario CMS v.9.4.59197 allows a local attacker to execute arbitrary code via a crafted script to the Spare aliases from Alias. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43281 (lien direct) | Double vulnérabilité gratuite dans Nothings STB Image.h V.2.28 permet à un attaquant distant de provoquer un déni de service via un fichier fabriqué à la fonction STBI_LOAD_GIF_MAIN.
Double Free vulnerability in Nothings Stb Image.h v.2.28 allows a remote attacker to cause a denial of service via a crafted file to the stbi_load_gif_main function. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-41960 (lien direct) | La vulnérabilité permet à une application tierce non privilégiée (non fiancée) d'interagir avec un contenu Provider dangelé exposé par l'application Android Agent, modifiant potentiellement les paramètres sensibles de l'application client Android elle-même.
The vulnerability allows an unprivileged(untrusted) third-party application to interact with a content-provider unsafely exposed by the Android Agent application, potentially modifying sensitive settings of the Android Client application itself. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43360 (lien direct) | La vulnérabilité de script du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre de répertoire supérieur dans le composant de menu File Picker.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the Top Directory parameter in the File Picker Menu component. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43508 (lien direct) | Vulnérabilités dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager permettez à un attaquant de Read only & acirc; & nbsp; privilèges d'effectuer des actions qui modifient l'état de & acirc; & nbsp; ClearPass Policy Manager Instance.Exploitation réussie et acirc; & nbsp; de ces vulnérabilités permettent à un attaquant de terminer & acirc; & nbsp; les actions changeant d'état dans l'interface de gestion basée sur le Web & acirc; & nbsp; qui ne devrait pas être autorisée par son niveau actuel de & acirc; & nbsp; Autorisation sur la plate-forme.
Vulnerabilities in the web-based management interface of ClearPass Policy Manager allow an attacker with read-only privileges to perform actions that change the state of the ClearPass Policy Manager instance. Successful exploitation of these vulnerabilities allow an attacker to complete state-changing actions in the web-based management interface that should not be allowed by their current level of authorization on the platform. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43507 (lien direct) | Une vulnérabilité dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager pourrait permettre à une attaque Authenticated & acirc; & nbsp; à distance de mener des attaques d'injection SQL contre & acirc; & nbsp; l'instance ClearPass Policy Manager.Un attaquant pourrait & acirc; & nbsp; exploiter cette vulnérabilité pour obtenir et modifier Sensitive & acirc; & nbsp; Informations dans la base de données sous-jacente potentiellement menant & acirc; & nbsp; pour compromettre le compromis du ClearPass Policy Manager & acirc; & nbsp; cluster.
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an authenticated remote attacker to conduct SQL injection attacks against the ClearPass Policy Manager instance. An attacker could exploit this vulnerability to obtain and modify sensitive information in the underlying database potentially leading to complete compromise of the ClearPass Policy Manager cluster. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43488 (lien direct) | La vulnérabilité permet une application privilégiée faible (non fiable)
Modifiez une propriété système critique qui doit être refusée, afin de permettre d'exposer le protocole ADB (Android Debug Bridge) sur le réseau, en l'exploitant pour gagner un shell privilégié sur l'appareil sans nécessiter l'accès physique via USB.
The vulnerability allows a low privileged (untrusted) application to modify a critical system property that should be denied, in order to enable the ADB (Android Debug Bridge) protocol to be exposed on the network, exploiting it to gain a privileged shell on the device without requiring the physical access through USB. |
Vulnerability |
To see everything:
Our RSS (filtrered)
