What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-14 10:15:10 | CVE-2023-45348 (lien direct) | Apache Airflow, versions 2.7.0 et 2.7.1, est affectée par une vulnérabilité qui permet à un utilisateur authentifié de récupérer des informations de configuration sensibles lorsque l'option "Expose_Config" est définie sur "non sensible uniquement".L'option `Expose_config` est fausse par défaut.
Il est recommandé de passer à une version qui n'est pas affectée.
Apache Airflow, versions 2.7.0 and 2.7.1, is affected by a vulnerability that allows an authenticated user to retrieve sensitive configuration information when the "expose_config" option is set to "non-sensitive-only". The `expose_config` option is False by default. It is recommended to upgrade to a version that is not affected. |
Vulnerability | ||
|
2023-10-14 10:15:10 | CVE-2023-42780 (lien direct) | Apache Airflow, versions avant 2.7.2, contient une vulnérabilité de sécurité qui permet aux utilisateurs authentifiés de flux d'air de répertorier les avertissements pour tous les Dags, même si l'utilisateur n'avait pas la permission de voir ces Dags.Il révélerait le DAG_IDS et les traces de pile d'erreurs d'importation pour les Dags avec des erreurs d'importation.
Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité.
Apache Airflow, versions prior to 2.7.2, contains a security vulnerability that allows authenticated users of Airflow to list warnings for all DAGs, even if the user had no permission to see those DAGs. It would reveal the dag_ids and the stack-traces of import errors for those DAGs with import errors. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability. |
Vulnerability | ||
|
2023-10-14 10:15:09 | CVE-2023-42663 (lien direct) | Apache Airflow, versions avant 2.7.2, a une vulnérabilité qui permet à un utilisateur autorisé qui a accès à lire uniquement des Dags spécifiques, de lire des informations sur les instances de tâche dans d'autres Dags.
Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité.
Apache Airflow, versions before 2.7.2, has a vulnerability that allows an authorized user who has access to read specific DAGs only, to read information about task instances in other DAGs. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability. |
Vulnerability | ||
|
2023-10-14 04:15:10 | CVE-2023-30148 (lien direct) | Vulnérabilités de script de script de site transversal multiples (XSS) dans OPART OPARTMultiHtmlblock avant la version 2.0.12 et OPART MultiHtmlBlock * version 1.0.0, permet aux utilisateurs authentifiés à distance d'injecter un script Web arbitraire ou HTML via le Body_Text ou Body_Text_Tex.et /sourcefiles/blockhtml.php.
Multiple Stored Cross Site Scripting (XSS) vulnerabilities in Opart opartmultihtmlblock before version 2.0.12 and Opart multihtmlblock* version 1.0.0, allows remote authenticated users to inject arbitrary web script or HTML via the body_text or body_text_rude field in /sourcefiles/BlockhtmlClass.php and /sourcefiles/blockhtml.php. |
Vulnerability | ||
|
2023-10-14 00:15:10 | CVE-2023-45674 (lien direct) | Farmbot-Web-App est une interface de contrôle Web pour la plateforme Farmbot Farm Automation.Une vulnérabilité d'injection SQL a été trouvée dans l'application Web de FarmBot \\ qui permet aux attaquants authentifiés d'extraire des données arbitraires de sa base de données (y compris la table d'utilisateurs).Ce problème peut entraîner une divulgation d'informations.Ce problème a été corrigé dans la version 15.8.4.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème.
Farmbot-Web-App is a web control interface for the Farmbot farm automation platform. An SQL injection vulnerability was found in FarmBot\'s web app that allows authenticated attackers to extract arbitrary data from its database (including the user table). This issue may lead to Information Disclosure. This issue has been patched in version 15.8.4. Users are advised to upgrade. There are no known workarounds for this issue. |
Vulnerability | ||
|
2023-10-13 21:15:51 | CVE-2023-36559 (lien direct) | Vulnérabilité de l'usurpation de Microsoft Edge (à base de chrome)
Microsoft Edge (Chromium-based) Spoofing Vulnerability |
Vulnerability | ||
|
2023-10-13 21:15:51 | CVE-2023-4263 (lien direct) | Vulnérabilité potentielle de débordement de tampon dans le pilote Zephyr IEEE 802.15.4 NRF 15.4
Potential buffer overflow vulnerability in the Zephyr IEEE 802.15.4 nRF 15.4 driver |
Vulnerability | ||
|
2023-10-13 20:15:10 | CVE-2023-34975 (lien direct) | Il a été rapporté qu'une vulnérabilité d'injection SQL affecte la station vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau.
Nous avons déjà corrigé la vulnérabilité dans la version suivante:
Station vidéo 5.7.0 (2023/07/27) et plus tard
A SQL injection vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later |
Vulnerability | ||
|
2023-10-13 20:15:10 | CVE-2023-32976 (lien direct) | Une vulnérabilité d'injection de commande OS a été signalée pour affecter la station de conteneurs.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés d'exécuter des commandes via un réseau.
Nous avons déjà corrigé la vulnérabilité dans la version suivante:
Station de conteneurs 2.6.7.44 et plus tard
An OS command injection vulnerability has been reported to affect Container Station. If exploited, the vulnerability could allow authenticated administrators to execute commands via a network. We have already fixed the vulnerability in the following version: Container Station 2.6.7.44 and later |
Vulnerability | ||
|
2023-10-13 20:15:10 | CVE-2023-34976 (lien direct) | Il a été rapporté qu'une vulnérabilité d'injection SQL affecte la station vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau.
Nous avons déjà corrigé la vulnérabilité dans la version suivante:
Station vidéo 5.7.0 (2023/07/27) et plus tard
A SQL injection vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later |
Vulnerability | ||
|
2023-10-13 20:15:10 | CVE-2023-34977 (lien direct) | Une vulnérabilité des scripts croisés (XSS) a été signalée au stade vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau.
Nous avons déjà corrigé la vulnérabilité dans la version suivante:
Station vidéo 5.7.0 (2023/07/27) et plus tard
A cross-site scripting (XSS) vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later |
Vulnerability | ||
|
2023-10-13 20:15:10 | CVE-2023-32974 (lien direct) | Une vulnérabilité de traversée de trajet a été rapportée pour plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs de lire le contenu des fichiers inattendus et d'exposer des données sensibles via un réseau.
Nous avons déjà corrigé la vulnérabilité dans les versions suivantes:
QTS 5.1.0.2444 Build 20230629 et plus tard
Quts Hero H5.1.0.2424 Build 20230609 et plus tard
QUTSCLOUD C5.1.0.2498 et plus tard
A path traversal vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to read the contents of unexpected files and expose sensitive data via a network. We have already fixed the vulnerability in the following versions: QTS 5.1.0.2444 build 20230629 and later QuTS hero h5.1.0.2424 build 20230609 and later QuTScloud c5.1.0.2498 and later |
Vulnerability | ||
|
2023-10-13 20:15:09 | CVE-2023-32970 (lien direct) | Une vulnérabilité de déréférence du pointeur nulle a été rapportée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés de lancer une attaque de déni de service (DOS) via un réseau.
Les QES ne sont pas affectés.
Nous avons déjà corrigé la vulnérabilité dans les versions suivantes:
Quts Hero H5.0.1.2515 Build 20230907 et plus tard
Quts Hero H5.1.0.2453 Build 20230708 et plus tard
QUTS Hero H4.5.4.2476 Build 20230728 et plus tard
QUTSCLOUD C5.1.0.2498 et plus tard
QTS 5.1.0.2444 Build 20230629 et plus tard
QTS 4.5.4.2467 Build 20230718 et plus tard
A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated administrators to launch a denial-of-service (DoS) attack via a network. QES is not affected. We have already fixed the vulnerability in the following versions: QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.0.2453 build 20230708 and later QuTS hero h4.5.4.2476 build 20230728 and later QuTScloud c5.1.0.2498 and later QTS 5.1.0.2444 build 20230629 and later QTS 4.5.4.2467 build 20230718 and later |
Vulnerability | ||
|
2023-10-13 20:15:09 | CVE-2023-32973 (lien direct) | Une copie de tampon sans vérifier la taille de la vulnérabilité d'entrée a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés d'exécuter du code via un réseau.
Nous avons déjà corrigé la vulnérabilité dans les versions suivantes:
QTS 5.0.1.2425 Build 20230609 et plus tard
QTS 5.1.0.2444 Build 20230629 et plus tard
QTS 4.5.4.2467 Build 20230718 et plus tard
Quts Hero H5.0.1.2515 Build 20230907 et plus tard
Quts Hero H5.1.0.2424 Build 20230609 et plus tard
QUTS Hero H4.5.4.2476 Build 20230728 et plus tard
QUTSCLOUD C5.1.0.2498 et plus tard
A buffer copy without checking size of input vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated administrators to execute code via a network. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2425 build 20230609 and later QTS 5.1.0.2444 build 20230629 and later QTS 4.5.4.2467 build 20230718 and later QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.0.2424 build 20230609 and later QuTS hero h4.5.4.2476 build 20230728 and later QuTScloud c5.1.0.2498 and later |
Vulnerability | ||
 |
2023-10-13 19:00:00 | Les pros de sécurité avertissent que la règle de divulgation de l'UE \\ est risquée Security Pros Warn that EU\\'s Vulnerability Disclosure Rule is Risky (lien direct) |
L’obligation de la Cyber Resilience de l’Union européenne \\ de l’Union de divulguer les vulnérabilités dans les 24 heures suivant l’exploitation pourrait potentiellement exposer les organisations à des attaques d’adversaires ou de surveillance du gouvernement.
The European Union\'s Cyber Resilience Act\'s requirement to disclose vulnerabilities within 24 hours of exploitation could potentially expose organizations to attacks from adversaries or government surveillance. |
Vulnerability Legislation | ★★★ | |
 |
2023-10-13 18:59:51 | GCP-2023-032 (lien direct) | Publié: 2023-10-13 Description | Vulnerability | ||
|
2023-10-13 17:20:00 | Microsoft fait ses débuts sur le programme BUG Bounty, offre 15 000 $ Microsoft Debuts AI Bug-Bounty Program, Offers $15K (lien direct) |
L'objectif du programme est de découvrir des vulnérabilités critiques ou importantes au sein du programme Bing propulsé par l'IA.
The goal of the program is to uncover critical or important vulnerabilities within the AI-powered Bing program. |
Vulnerability Patching | ★★★ | |
|
2023-10-13 17:15:09 | CVE-2023-5409 (lien direct) | HP est conscient d'une vulnérabilité de sécurité potentielle dans HP T430 et T638 MIND Client PCS.Ces modèles peuvent être sensibles à une attaque physique, permettant à une source non fiable de falsifier le firmware du système à l'aide d'une clé privée divulguée publiquement.HP fournit des conseils recommandés aux clients afin de réduire l'exposition à la vulnérabilité potentielle.
HP is aware of a potential security vulnerability in HP t430 and t638 Thin Client PCs. These models may be susceptible to a physical attack, allowing an untrusted source to tamper with the system firmware using a publicly disclosed private key. HP is providing recommended guidance for customers to reduce exposure to the potential vulnerability. |
Vulnerability | ||
|
2023-10-13 17:15:09 | CVE-2023-5449 (lien direct) | Une vulnérabilité de sécurité potentielle a été identifiée dans certains écrans HP prenant en charge la fonction de dissuasion du vol qui peut permettre à une dissuasion du moniteur et aciro;
A potential security vulnerability has been identified in certain HP Displays supporting the Theft Deterrence feature which may allow a monitor’s Theft Deterrence to be deactivated. |
Vulnerability | ||
|
2023-10-13 17:15:09 | CVE-2023-4499 (lien direct) | Une vulnérabilité de sécurité potentielle a été identifiée dans l'utilitaire HP FinUpdate (également connu sous le nom de HP Recovery Image and Software Download Tool) qui peut conduire à une divulgation d'informations.HP libére l'atténuation de la vulnérabilité potentielle.
A potential security vulnerability has been identified in the HP ThinUpdate utility (also known as HP Recovery Image and Software Download Tool) which may lead to information disclosure. HP is releasing mitigation for the potential vulnerability. |
Vulnerability | ||
|
2023-10-13 16:15:13 | CVE-2023-45276 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans AutomatedEditor.com Plugin de l'éditeur automatisé | Vulnerability | ||
|
2023-10-13 16:15:12 | CVE-2023-45270 (lien direct) | Vulnérabilité de la contrefaçon de demande de site transversal (CSRF) dans PINPOINT.World Pinpoint Booking System Plugin | Vulnerability | ||
|
2023-10-13 16:15:12 | CVE-2023-45269 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de référencement simple de David Cole | Vulnerability | ||
|
2023-10-13 16:15:11 | CVE-2023-40682 (lien direct) | IBM App Connect Enterprise 12.0.1.0 à 12.0.8.0 contient une vulnérabilité non spécifiée qui pourrait permettre à un utilisateur privilégié local d'obtenir des informations sensibles à partir des journaux API.IBM X-FORCE ID: 263833.
IBM App Connect Enterprise 12.0.1.0 through 12.0.8.0 contains an unspecified vulnerability that could allow a local privileged user to obtain sensitive information from API logs. IBM X-Force ID: 263833. |
Vulnerability | ||
|
2023-10-13 15:15:44 | CVE-2023-45268 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin d'analyse Web HitSteps Hitsteps | Vulnerability | ||
|
2023-10-13 15:15:44 | CVE-2023-45267 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin zizou1988 irivyou | Vulnerability | ||
|
2023-10-13 14:15:10 | CVE-2023-45109 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Whitepage de Zakstan | Vulnerability | ||
|
2023-10-13 14:15:10 | CVE-2023-45391 (lien direct) | Une vulnérabilité de script inter-site stockée (XSS) dans la fonction de création d'une nouvelle fonction d'employée de Granding Utime Master V9.0.7-Build: 4 avril 2023 permet aux attaquants authentifiés d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le prénomparamètre.
A stored cross-site scripting (XSS) vulnerability in the Create A New Employee function of Granding UTime Master v9.0.7-Build:Apr 4,2023 allows authenticated attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the First Name parameter. |
Vulnerability | ||
 |
2023-10-13 13:45:00 | La CISA prévoit de partager plus d'informations sur les acteurs du ransomware dans ses alertes de vulnérabilité exploitées CISA plans to share more information on ransomware actors in its exploited vulnerability alerts (lien direct) |
La principale agence de cybersécurité des États-Unis a déclaré qu'elle prévoyait d'ajouter une section dédiée aux gangs de ransomware à sa liste de vulnérabilités exploitées par des pirates.Les responsables de la Cybersecurity and Infrastructure Security Agency (CISA) ont déclaré jeudi que toutes les organisations auront désormais accès à des informations sur les vulnérabilités généralement associées aux attaques de ransomware via son
The U.S.\'s top cybersecurity agency said it plans to add a section dedicated to ransomware gangs to its list of vulnerabilities being exploited by hackers. Cybersecurity and Infrastructure Security Agency (CISA) officials said on Thursday that all organizations will now have access to information about which vulnerabilities are commonly associated with ransomware attacks through its |
Ransomware Vulnerability | ★★★ | |
 |
2023-10-13 13:33:20 | La CISA lance de nouvelles ressources pour lutter contre les vulnérabilités et les faiblesses exploitées par des groupes de ransomwares CISA Launches New Resources to Help Combat Vulnerabilities and Weaknesses Exploited by Ransomware Groups (lien direct) |
Dans le paysage en constante évolution de la cybersécurité, l'importance de rester en avance sur les menaces ne peut être ...
In the ever-evolving landscape of cybersecurity, the importance of staying ahead of threats cannot be... |
Ransomware Vulnerability | ★★★ | |
|
2023-10-13 13:15:12 | CVE-2023-45465 (lien direct) | NETIS N3MV2-V1.0.1.865 a été découvert qu'il contenait une vulnérabilité d'injection de commande via le paramètre DDNSDomainName dans les paramètres DNS dynamiques.
Netis N3Mv2-V1.0.1.865 was discovered to contain a command injection vulnerability via the ddnsDomainName parameter in the Dynamic DNS settings. |
Vulnerability | ||
|
2023-10-13 13:15:12 | CVE-2023-45468 (lien direct) | Netis N3MV2-V1.0.1.865 a été découvert qu'il contenait un débordement de tampon via le Pingwdogip.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
Netis N3Mv2-V1.0.1.865 was discovered to contain a buffer overflow via the pingWdogIp. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-13 13:15:12 | CVE-2023-45467 (lien direct) | NETIS N3MV2-V1.0.1.865 a été découvert qu'il contenait une vulnérabilité d'injection de commande via le paramètre NTPSERVIP dans les paramètres de temps.
Netis N3Mv2-V1.0.1.865 was discovered to contain a command injection vulnerability via the ntpServIP parameter in the Time Settings. |
Vulnerability | ||
|
2023-10-13 13:15:12 | CVE-2023-45466 (lien direct) | NETIS N3MV2-V1.0.1.865 a été découvert qu'il contenait une vulnérabilité d'injection de commande via le paramètre PIN_HOST dans les paramètres WPS.
Netis N3Mv2-V1.0.1.865 was discovered to contain a command injection vulnerability via the pin_host parameter in the WPS Settings. |
Vulnerability | ||
|
2023-10-13 13:15:12 | CVE-2023-45464 (lien direct) | NETIS N3MV2-V1.0.1.865 a été découvert qu'il contenait un débordement de tampon via le paramètre ServDomain.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
Netis N3Mv2-V1.0.1.865 was discovered to contain a buffer overflow via the servDomain parameter. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-13 13:15:11 | CVE-2023-45108 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin MailRelay | Vulnerability | ||
|
2023-10-13 13:15:11 | CVE-2023-45463 (lien direct) | NETIS N3MV2-V1.0.1.865 a été découvert qu'il contenait un débordement de tampon via le paramètre du nom d'hôte dans la fonction Fun_0040dabc.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une entrée fabriquée.
Netis N3Mv2-V1.0.1.865 was discovered to contain a buffer overflow via the hostName parameter in the FUN_0040dabc function. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. |
Vulnerability | ||
|
2023-10-13 13:15:11 | CVE-2023-45107 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Goodbarber | Vulnerability | ||
|
2023-10-13 13:15:11 | CVE-2023-45162 (lien direct) | Les versions de plate-forme affectées 1E ont une vulnérabilité d'injection SQL aveugle qui peut conduire à une exécution de code arbitraire. & Acirc; & nbsp;
L'application du hotfix pertinent résout ce problème.
Pour V8.1.2 Appliquer Hotfix Q23166
Pour V8.4.1 Appliquer Hotfix Q23164
Pour V9.0.1, appliquez Hotfix Q23173
Les implémentations SAAS sur V23.7.1 seront automatiquement appliquées par Hotfix Q23173.Les clients avec des versions SaaS ci-dessous sont invités à mettre à niveau de toute urgence - veuillez contacter 1E pour organiser ceci
Affected 1E Platform versions have a Blind SQL Injection vulnerability that can lead to arbitrary code execution. Application of the relevant hotfix remediates this issue. for v8.1.2 apply hotfix Q23166 for v8.4.1 apply hotfix Q23164 for v9.0.1 apply hotfix Q23173 SaaS implementations on v23.7.1 will automatically have hotfix Q23173 applied. Customers with SaaS versions below this are urged to upgrade urgently - please contact 1E to arrange this |
Vulnerability Cloud | ||
|
2023-10-13 12:15:10 | CVE-2023-43079 (lien direct) | Dell Openmanage Server Administrator, Versions 11.0.0.0 et Prior, contient une vulnérabilité de contrôle d'accès incorrect.Un utilisateur malveillant peu privilégié local pourrait potentiellement exploiter cette vulnérabilité pour exécuter du code arbitraire afin d'élever des privilèges sur le système. & Acirc; & nbsp; l'exploitation peut conduire à un compromis complet du système.
Dell OpenManage Server Administrator, versions 11.0.0.0 and prior, contains an Improper Access Control vulnerability. A local low-privileged malicious user could potentially exploit this vulnerability to execute arbitrary code in order to elevate privileges on the system. Exploitation may lead to a complete system compromise. |
Vulnerability | ||
|
2023-10-13 10:15:09 | CVE-2023-38000 (lien direct) | Auth.Vulnérabilité des scripts inter-sites (contributeur +) stockés (XSS) dans WordPress Core & acirc; & nbsp; 6.3 à 6.3.1, de 6.2 à 6.2.2, de 6.1 à 6.1.3, de 6.0 à 6.0.5, de 5,9 à 5,9.7 et plugin Gutenberg | Vulnerability | ||
|
2023-10-13 07:15:41 | CVE-2023-38251 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt) et 2.4.4-p5 (et plus tôt) sont affectés par une vulnérabilité de consommation de ressources non contrôléeCela pourrait mener dans le déni de service mineur.L'exploitation de ce problème ne nécessite pas d'interaction utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by a Uncontrolled Resource Consumption vulnerability that could lead in minor application denial-of-service. Exploitation of this issue does not require user interaction. |
Vulnerability | ||
|
2023-10-13 07:15:41 | CVE-2023-38249 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt)Éléments utilisés dans une vulnérabilité SQL Commande (\\ 'SQL Injection \') qui pourrait mener dans l'exécution de code arbitraire par un attaquant authentifié admin-privilége.L'exploitation de ce problème ne nécessite pas l'interaction des utilisateurs et la complexité des attaques est élevée car elle nécessite une connaissance de l'outillage au-delà de l'utilisation de l'interface utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by an Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability that could lead in arbitrary code execution by an admin-privilege authenticated attacker. Exploitation of this issue does not require user interaction and attack complexity is high as it requires knowledge of tooling beyond just using the UI. |
Vulnerability | ||
|
2023-10-13 07:15:41 | CVE-2023-38250 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt)Éléments utilisés dans une vulnérabilité SQL Commande (\\ 'SQL Injection \') qui pourrait mener dans l'exécution de code arbitraire par un attaquant authentifié admin-privilége.L'exploitation de ce problème ne nécessite pas l'interaction des utilisateurs et la complexité des attaques est élevée car elle nécessite une connaissance de l'outillage au-delà de l'utilisation de l'interface utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by an Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability that could lead in arbitrary code execution by an admin-privilege authenticated attacker. Exploitation of this issue does not require user interaction and attack complexity is high as it requires knowledge of tooling beyond just using the UI. |
Vulnerability | ||
|
2023-10-13 07:15:40 | CVE-2023-38221 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt)Éléments utilisés dans une vulnérabilité SQL Commande (\\ 'SQL Injection \') qui pourrait mener dans l'exécution de code arbitraire par un attaquant authentifié admin-privilége.L'exploitation de ce problème ne nécessite pas l'interaction des utilisateurs et la complexité des attaques est élevée car elle nécessite une connaissance de l'outillage au-delà de l'utilisation de l'interface utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by an Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability that could lead in arbitrary code execution by an admin-privilege authenticated attacker. Exploitation of this issue does not require user interaction and attack complexity is high as it requires knowledge of tooling beyond just using the UI. |
Vulnerability | ||
|
2023-10-13 07:15:40 | CVE-2023-38220 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt) et 2.4.4-p5 (et plus tôt) sont affectés par une mauvaise vulnérabilité d'autorisation quepourrait mener dans un contournement de fonctionnalité de sécurité d'une manière qu'un attaquant pourrait accéder aux données non autorisées.L'exploitation de ce problème ne nécessite pas d'interaction utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by an Improper Authorization vulnerability that could lead in a security feature bypass in a way that an attacker could access unauthorised data. Exploitation of this issue does not require user interaction. |
Vulnerability | ||
|
2023-10-13 07:15:40 | CVE-2023-38219 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt) et 2.4.4-p5 (et plus tôt) sont affectés par un site transversal stockéLa vulnérabilité des scripts (XSS) qui pourrait être abusée par un attaquant peu privilégié pour injecter des scripts malveillants dans des champs de forme vulnérable.Le JavaScript malveillant peut être exécuté dans un navigateur victime et acirt; & euro; & commerce lorsqu'ils naviguent sur la page contenant le champ vulnérable.La charge utile est stockée dans une zone d'administration, entraînant une forte confidentialité et un impact sur l'intégrité.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by a stored Cross-Site Scripting (XSS) vulnerability that could be abused by a low-privileged attacker to inject malicious scripts into vulnerable form fields. Malicious JavaScript may be executed in a victim’s browser when they browse to the page containing the vulnerable field. Payload is stored in an admin area, resulting in high confidentiality and integrity impact. |
Vulnerability | ||
|
2023-10-13 07:15:39 | CVE-2023-26367 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt) et 2.4.4-p5 (et plus tôt) sont affectés par une vulnérabilité de validation d'entrée incorrecteCela pourrait conduire à un système de fichiers arbitraire lu par un attaquant authentifié Admin-Privilege.L'exploitation de ce problème ne nécessite pas d'interaction utilisateur.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by an Improper Input Validation vulnerability that could lead to arbitrary file system read by an admin-privilege authenticated attacker. Exploitation of this issue does not require user interaction. |
Vulnerability | ||
|
2023-10-13 07:15:38 | CVE-2023-26366 (lien direct) | Adobe Commerce Versions 2.4.7-beta1 (et plus tôt), 2.4.6-p2 (et plus tôt), 2.4.5-p4 (et plus tôt) et 2.4.4-p5 (et plus tôt) sont affectés par une demande côté serveurLa vulnérabilité de contrefaçon (SSRF) qui pourrait conduire à une lecture arbitraire du système de fichiers.Un attaquant authentifié de haut niveau peut forcer la demande à faire des demandes arbitraires via l'injection d'URL arbitraires.L'exploitation de ce problème ne nécessite pas d'interaction utilisateur, la portée est modifiée en raison du fait qu'un attaquant peut appliquer le fichier lu en dehors de la limite de chemin de l'application \\.
Adobe Commerce versions 2.4.7-beta1 (and earlier), 2.4.6-p2 (and earlier), 2.4.5-p4 (and earlier) and 2.4.4-p5 (and earlier) are affected by a Server-Side Request Forgery (SSRF) vulnerability that could lead to arbitrary file system read. A high-privileged authenticated attacker can force the application to make arbitrary requests via injection of arbitrary URLs. Exploitation of this issue does not require user interaction, scope is changed due to the fact that an attacker can enforce file read outside the application\'s path boundary. |
Vulnerability | ||
 |
2023-10-13 03:48:59 | Fortifier les appareils IoT: démêler l'art de sécuriser les systèmes intégrés Fortifying IoT Devices: Unraveling the Art of Securing Embedded Systems (lien direct) |
Les appareils interconnectés et compatibles avec les données sont plus courants que jamais.D'ici 2027, il est prévu qu'il y aura plus de 41 milliards de nouveaux appareils IoT.L'émergence de chaque nouvel appareil offre un nouveau point de vulnérabilité pour les mauvais acteurs opportunistes.En 2022, plus de 112 millions de cyberattaques ont été réalisées sur les appareils IoT dans le monde.Sans une protection suffisante, les attaquants peuvent exploiter ces points faibles pour accéder à des données sensibles ou restreindre l'accès aux réseaux Internet.Des gadgets à domicile intelligents aux plus grands systèmes intelligents, un programme de gestion de vulnérabilité en plusieurs étapes est essentiel ...
Interconnected, data-enabled devices are more common now than ever before. By 2027, it is predicted that there will be more than 41 billion new IoT devices . The emergence of each new device offers a fresh vulnerability point for opportunistic bad actors. In 2022, there were over 112 million cyberattacks carried out on IoT devices worldwide. Without sufficient protection, attackers can exploit these weak points to gain access to sensitive data or restrict access to internet networks. From smart home gadgets to larger smart systems, a multi-stage vulnerability management program is essential... |
Vulnerability | ★★ |
To see everything:
Our RSS (filtrered)
