What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-10 01:15:08 | CVE-2023-4869 (lien direct) | Une vulnérabilité a été trouvée dans SourceCodeter Contact Manager App 1.0.Il a été considéré comme problématique.Ce problème est une fonctionnalité inconnue du fichier Update.php.La manipulation conduit à une contrefaçon de demande inter-sites.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239354 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Contact Manager App 1.0. It has been rated as problematic. Affected by this issue is some unknown functionality of the file update.php. The manipulation leads to cross-site request forgery. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-239354 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-10 01:15:08 | CVE-2023-4876 (lien direct) | Exposition d'informations sensibles à un acteur non autorisé dans le référentiel GitHub Hamza417 / INure avant la construction92.
Exposure of Sensitive Information to an Unauthorized Actor in GitHub repository hamza417/inure prior to build92. |
|||
|
2023-09-10 01:15:07 | CVE-2023-4868 (lien direct) | Une vulnérabilité a été trouvée dans SourceCodeter Contact Manager App 1.0.Il a été déclaré problématique.Cette vulnérabilité est une fonctionnalité inconnue du fichier add.php.La manipulation conduit à une contrefaçon de demande inter-sites.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239353 a été attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Contact Manager App 1.0. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file add.php. The manipulation leads to cross-site request forgery. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239353 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-10 01:15:07 | CVE-2023-4867 (lien direct) | Une vulnérabilité a été trouvée dans le système de gestion intégré de la table intelligente Xintian 5.6.9.Il a été classé comme critique.Affecté est une fonction inconnue du fichier /sysmanage/addupdatesites.aspx de la page du site ajoutée du composant.La manipulation de l'argument TBXSiTename conduit à l'injection de SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239352.
A vulnerability was found in Xintian Smart Table Integrated Management System 5.6.9. It has been classified as critical. Affected is an unknown function of the file /SysManage/AddUpdateSites.aspx of the component Added Site Page. The manipulation of the argument TbxSiteName leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239352. |
Vulnerability | ||
|
2023-09-10 00:15:07 | CVE-2023-4866 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter en ligne Tours & amp;Travers le système de gestion 1.0 et classé comme critique.Ce problème affecte l'exécutif de la fonction du fichier booking.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-239351.
A vulnerability was found in SourceCodester Online Tours & Travels Management System 1.0 and classified as critical. This issue affects the function exec of the file booking.php. The manipulation of the argument id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239351. |
Vulnerability | ||
|
2023-09-09 23:15:40 | CVE-2023-4865 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter Take-Note App 1.0 et classée comme problématique.Cette vulnérabilité affecte le code inconnu.La manipulation conduit à une contrefaçon de demande inter-sites.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239350 est l'identifiant attribué à cette vulnérabilité.
A vulnerability has been found in SourceCodester Take-Note App 1.0 and classified as problematic. This vulnerability affects unknown code. The manipulation leads to cross-site request forgery. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-239350 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-09 22:15:09 | CVE-2023-41915 (lien direct) | OpenPMix PMIX avant 4.2.6 et 5.0.x avant 5.0.1 permet aux attaquants d'obtenir la propriété de fichiers arbitraires via une condition de course lors de l'exécution du code de la bibliothèque avec UID 0.
OpenPMIx PMIx before 4.2.6 and 5.0.x before 5.0.1 allows attackers to obtain ownership of arbitrary files via a race condition during execution of library code with UID 0. |
|||
|
2023-09-09 21:15:43 | CVE-2023-4864 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Sourcecodeter Take-Note App 1.0.Cela affecte une partie inconnue du fichier index.php.La manipulation de l'argument NotEcontent avec l'alerte d'entrée (\\ 'xss \') mène au script du site croisé.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239349 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, was found in SourceCodester Take-Note App 1.0. This affects an unknown part of the file index.php. The manipulation of the argument noteContent with the input alert(\'xss\') leads to cross site scripting. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239349 was assigned to this vulnerability. |
|||
|
2023-09-09 15:15:35 | CVE-2023-4875 (lien direct) | Dereference du pointeur nul lors de la composition d'un projet de projet spécialement conçu dans Mutt> 1.5.2 1.5.2 | |||
|
2023-09-09 15:15:34 | CVE-2023-4874 (lien direct) | NULL POINTER DEREFEREFER lors de la visualisation d'un e-mail spécialement conçu dans Mutt> 1.5.2 1.5.2 | |||
|
2023-09-09 13:15:21 | CVE-2023-4852 (lien direct) | Une vulnérabilité a été trouvée dans IBOS OA 4.5.5 et classée comme critique.Ce problème affecte un traitement inconnu du fichier? R = tableau de bord / base de données / optimiser.La manipulation conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239261 a été attribué à cette vulnérabilité.
A vulnerability was found in IBOS OA 4.5.5 and classified as critical. This issue affects some unknown processing of the file ?r=dashboard/database/optimize. The manipulation leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239261 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-09 12:15:08 | CVE-2023-4851 (lien direct) | Une vulnérabilité a été trouvée dans IBOS OA 4.5.5 et classée comme critique.Cette vulnérabilité affecte le code inconnu du fichier? R = tableau de bord / position / édition & amp; op = membre.La manipulation conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239260.
A vulnerability has been found in IBOS OA 4.5.5 and classified as critical. This vulnerability affects unknown code of the file ?r=dashboard/position/edit&op=member. The manipulation leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239260. |
Vulnerability | ||
|
2023-09-09 12:15:07 | CVE-2023-4850 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans IBOS OA 4.5.5.Cela affecte une partie inconnue du fichier? R = tableau de bord / position / del.La manipulation conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-239259.
A vulnerability, which was classified as critical, was found in IBOS OA 4.5.5. This affects an unknown part of the file ?r=dashboard/position/del. The manipulation leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239259. |
Vulnerability | ||
|
2023-09-09 11:15:14 | CVE-2023-4849 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans IBOS OA 4.5.5.Ce problème est une fonctionnalité inconnue du fichier? R = fichier / tableau de bord / trash & amp; op = del.La manipulation de l'argument FID conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239258 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as critical, has been found in IBOS OA 4.5.5. Affected by this issue is some unknown functionality of the file ?r=file/dashboard/trash&op=del. The manipulation of the argument fids leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-239258 is the identifier assigned to this vulnerability. |
|||
|
2023-09-09 10:15:07 | CVE-2023-4848 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Simple Book Catalog 1.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier delete_book.php.La manipulation de la suppression de l'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239257 a été attribué à cette vulnérabilité.
A vulnerability classified as critical was found in SourceCodester Simple Book Catalog App 1.0. Affected by this vulnerability is an unknown functionality of the file delete_book.php. The manipulation of the argument delete leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239257 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-09 08:15:07 | CVE-2023-4847 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans SourceCodeter Simple Book Catalog 1.0.Affecté est une fonction inconnue du formulaire de livre de mise à jour des composants.La manipulation de l'argument book_title / book_author mène à la script du site croisé.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239256.
A vulnerability classified as problematic has been found in SourceCodester Simple Book Catalog App 1.0. Affected is an unknown function of the component Update Book Form. The manipulation of the argument book_title/book_author leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239256. |
Vulnerability | ||
|
2023-09-09 08:15:07 | CVE-2023-4846 (lien direct) | Une vulnérabilité a été trouvée dans le système d'adhésion Simple Sourcecodeter 1.0.Il a été évalué comme critique.Ce problème affecte un traitement inconnu du fichier delete_member.php.La manipulation de l'argument mem_id conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-239255.
A vulnerability was found in SourceCodester Simple Membership System 1.0. It has been rated as critical. This issue affects some unknown processing of the file delete_member.php. The manipulation of the argument mem_id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239255. |
Vulnerability | ||
|
2023-09-09 07:15:50 | CVE-2023-4845 (lien direct) | Une vulnérabilité a été trouvée dans le système d'adhésion Simple Sourcecodeter 1.0.Il a été déclaré comme critique.Cette vulnérabilité affecte le code inconnu du fichier compte_edit_query.php.La manipulation de l'argument admin_id conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239254 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Simple Membership System 1.0. It has been declared as critical. This vulnerability affects unknown code of the file account_edit_query.php. The manipulation of the argument admin_id leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-239254 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-09 02:15:46 | CVE-2023-4838 (lien direct) | Le plugin de compteur de téléchargement simple pour WordPress est vulnérable aux scripts inter-sites stockés via les raccourcis du plugin \\ dans les versions jusqu'à et y compris 1,6 en raison de la désinfection et de la sortie des entrées insuffisantes sur les attributs fournis par l'utilisateur comme \\ 'avant \ \' et après\'.Cela permet aux attaquants authentifiés, avec des autorisations au niveau des contributeurs et au-dessus, d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The Simple Download Counter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin\'s shortcodes in versions up to, and including, 1.6 due to insufficient input sanitization and output escaping on user supplied attributes like \'before\' and \'after\'. This makes it possible for authenticated attackers, with contributor-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-09-08 23:15:11 | CVE-2023-41564 (lien direct) | Une vulnérabilité de téléchargement de fichiers arbitraires dans la fonction d'actif de téléchargement de Cockpit CMS v2.6.3 permet aux attaquants d'exécuter du code arbitraire via le téléchargement d'un fichier .shtml fabriqué.
An arbitrary file upload vulnerability in the Upload Asset function of Cockpit CMS v2.6.3 allows attackers to execute arbitrary code via uploading a crafted .shtml file. |
Vulnerability | ||
|
2023-09-08 22:15:12 | CVE-2023-42278 (lien direct) | Hutool v5.8.21 a été découvert que contiennent un débordement de tampon via le composant jsonutil.parse ().
hutool v5.8.21 was discovered to contain a buffer overflow via the component JSONUtil.parse(). |
|||
|
2023-09-08 22:15:12 | CVE-2023-4844 (lien direct) | Une vulnérabilité a été trouvée dans le système d'adhésion Simple Sourcecodeter 1.0.Il a été classé comme critique.Cela affecte une partie inconnue du fichier club_edit_query.php.La manipulation de l'argument Club_ID conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239253 a été attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Simple Membership System 1.0. It has been classified as critical. This affects an unknown part of the file club_edit_query.php. The manipulation of the argument club_id leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239253 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-08 22:15:11 | CVE-2023-42277 (lien direct) | Hutool v5.8.21 a été découvert que contiennent un débordement de tampon via le composant jsonObject.putBypath.
hutool v5.8.21 was discovered to contain a buffer overflow via the component jsonObject.putByPath. |
|||
|
2023-09-08 22:15:11 | CVE-2023-42276 (lien direct) | Hutool v5.8.21 a été découvert qu'il contenait un débordement de tampon via le composant JSONArray.
hutool v5.8.21 was discovered to contain a buffer overflow via the component jsonArray. |
|||
|
2023-09-08 22:15:11 | CVE-2023-40306 (lien direct) | SAP S / 4HANA Gérer les éléments du catalogue et les recherches de catalogue transversal FIORI Les applications permettent à un attaquant de rediriger les utilisateurs vers un site malveillant en raison d'une validation URL insuffisante.En conséquence, cela peut avoir un léger impact sur la confidentialité et l'intégrité.
SAP S/4HANA Manage Catalog Items and Cross-Catalog searches Fiori apps allow an attacker to redirect users to a malicious site due to insufficient URL validation. As a result, it may have a slight impact on confidentiality and integrity. |
|||
|
2023-09-08 22:15:09 | CVE-2022-22409 (lien direct) | IBM Aspera Faspex 5.0.5 pourrait permettre à un attaquant distant de recueillir des informations sensibles sur l'application Web, causées par une configuration non sécurisée.IBM X-FORCE ID: 222592.
IBM Aspera Faspex 5.0.5 could allow a remote attacker to gather sensitive information about the web application, caused by an insecure configuration. IBM X-Force ID: 222592. |
|||
|
2023-09-08 22:15:09 | CVE-2022-22401 (lien direct) | IBM Aspera Faspex 5.0.5 pourrait permettre à un attaquant distant de rassembler ou de persuader un utilisateur naïf de fournir des informations sensibles.IBM X-FORCE ID: 222567.
IBM Aspera Faspex 5.0.5 could allow a remote attacker to gather or persuade a naive user to supply sensitive information. IBM X-Force ID: 222567. |
|||
|
2023-09-08 22:15:09 | CVE-2022-22402 (lien direct) | IBM Aspera Faspex 5.0.5 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 222571.
IBM Aspera Faspex 5.0.5 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 222571. |
Vulnerability | ||
|
2023-09-08 21:15:45 | CVE-2023-30995 (lien direct) | IBM Aspera Faspex 5.0.5 pourrait permettre à un acteur malveillant de contourner les restrictions de liste blanche IP en utilisant une demande HTTP spécialement conçue.IBM X-FORCE ID: 254268.
IBM Aspera Faspex 5.0.5 could allow a malicious actor to bypass IP whitelist restrictions using a specially crafted HTTP request. IBM X-Force ID: 254268. |
|||
|
2023-09-08 21:15:44 | CVE-2023-24965 (lien direct) | IBM Aspera Faspex 5.0.5 ne restreint pas ou ne limite pas mal l'accès à une ressource d'un acteur non autorisé.IBM X-FORCE ID: 246713.
IBM Aspera Faspex 5.0.5 does not restrict or incorrectly restricts access to a resource from an unauthorized actor. IBM X-Force ID: 246713. |
|||
|
2023-09-08 21:15:44 | CVE-2022-22405 (lien direct) | IBM Aspera Faspex 5.0.5 pourrait permettre à un attaquant distant d'obtenir des informations sensibles, causées par l'échec de permettre correctement la sécurité du transport strict HTTP.Un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles en utilisant l'homme dans les techniques du milieu.IBM X-FORCE ID: 222576.
IBM Aspera Faspex 5.0.5 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. IBM X-Force ID: 222576. |
Vulnerability | ||
|
2023-09-08 20:15:14 | CVE-2023-41318 (lien direct) | Matrix-Media-Repo est un référentiel multimédia multi-domaines hautement personnalisable pour l'écosystème de chat matriciel.Dans les versions affectées, un attaquant pourrait télécharger un élément de média malveillant sur le dépôt de médias, qui serait ensuite servi avec «contenu-disposition: en ligne» lors du téléchargement.Cette vulnérabilité pourrait être exploitée pour exécuter des scripts intégrés dans le contenu SVG.Commits `77EC235` et« BF8ABDD` Correction du problème et sont inclus dans la version 1.3.0.Les opérateurs doivent passer à la V1.3.0 dès que possible.Les opérateurs incapables de mettre à niveau doivent remplacer l'en-tête «contenu-disposition» renvoyé par Matrix-Media-Repo comme solution de contournement.
matrix-media-repo is a highly customizable multi-domain media repository for the Matrix chat ecosystem. In affected versions an attacker could upload a malicious piece of media to the media repo, which would then be served with `Content-Disposition: inline` upon download. This vulnerability could be leveraged to execute scripts embedded in SVG content. Commits `77ec235` and `bf8abdd` fix the issue and are included in the 1.3.0 release. Operators should upgrade to v1.3.0 as soon as possible. Operators unable to upgrade should override the `Content-Disposition` header returned by matrix-media-repo as a workaround. |
Vulnerability | ||
|
2023-09-08 20:15:14 | CVE-2023-32332 (lien direct) | IBM Maximo Application Suite 8.9, 8.10 et IBM Maximo Asset Management 7.6.1.2, 7.6.1.3 sont vulnérables à l'injection HTML.Un attaquant distant pourrait injecter un code HTML malveillant qui, lorsqu'il est consulté, serait exécuté dans le navigateur Web de la victime dans le contexte de sécurité du site d'hébergement.IBM X-FORCE ID: 255072.
IBM Maximo Application Suite 8.9, 8.10 and IBM Maximo Asset Management 7.6.1.2, 7.6.1.3 are vulnerable to HTML injection. A remote attacker could inject malicious HTML code, which when viewed, would be executed in the victim\'s Web browser within the security context of the hosting site. IBM X-Force ID: 255072. |
|||
|
2023-09-08 20:15:14 | CVE-2022-33164 (lien direct) | IBM Security Directory Server 7.2.0 pourrait permettre à un attaquant distant de traverser les répertoires sur le système.Un attaquant peut envoyer une demande d'URL spécialement conçue contenant des séquences "dot" (/../) pour afficher ou écrire dans des fichiers arbitraires sur le système.IBM X-FORCE ID: 228579.
IBM Security Directory Server 7.2.0 could allow a remote attacker to traverse directories on the system. An attacker could send a specially crafted URL request containing "dot dot" sequences (/../) to view or write to arbitrary files on the system. IBM X-Force ID: 228579. |
|||
|
2023-09-08 19:15:44 | CVE-2023-41578 (lien direct) | Le démarrage de Jeecg jusqu'à V3.5.3 a été découvert qu'il contenait une vulnérabilité de lecture de fichiers arbitraires via l'interface / testConnection.
Jeecg boot up to v3.5.3 was discovered to contain an arbitrary file read vulnerability via the interface /testConnection. |
Vulnerability | ||
|
2023-09-08 19:15:44 | CVE-2023-41575 (lien direct) | Vulnérabilités de scripts croisés stockés multiples (XSS) dans /bbdms/sign-up.php de Blood Bank & amp;Gestion des donateurs V2.2 Autorisez les attaquants à exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le nom complet, le message ou les paramètres d'adresse.
Multiple stored cross-site scripting (XSS) vulnerabilities in /bbdms/sign-up.php of Blood Bank & Donor Management v2.2 allow attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Full Name, Message, or Address parameters. |
Vulnerability | ||
|
2023-09-08 19:15:44 | CVE-2023-42268 (lien direct) | Il a été découvert que le démarrage JEECG jusqu'à V3.5.3 contenait une vulnérabilité d'injection SQL via le composant / jeecg-boot / jmreport / show.
Jeecg boot up to v3.5.3 was discovered to contain a SQL injection vulnerability via the component /jeecg-boot/jmreport/show. |
Vulnerability | ||
|
2023-09-08 19:15:43 | CVE-2023-41338 (lien direct) | Fiber est un cadre Web inspiré express construit dans la langue go.Les versions de Gofibre avant 2.49.2 n'ont pas correctement restreint l'accès à localhost.Ce problème a un impact sur les utilisateurs de notre projet qui s'appuient sur la méthode «ctx.isfromlocal» pour restreindre l'accès aux demandes locales.S'il est exploité, il pourrait permettre un accès non autorisé aux ressources destinées uniquement à LocalHost.La définition de `X-Forwarded-For: 127.0.0.1` dans une demande d'un hôte étranger, se traduira par` ctx.isfromlocal`.L'accès est limité à la portée du processus affecté.Ce problème a été corrigé dans la version `2.49.2` avec Commit` B8C9EDE6`.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour résoudre cette vulnérabilité sans passer à la version corrigée.
Fiber is an Express inspired web framework built in the go language. Versions of gofiber prior to 2.49.2 did not properly restrict access to localhost. This issue impacts users of our project who rely on the `ctx.IsFromLocal` method to restrict access to localhost requests. If exploited, it could allow unauthorized access to resources intended only for localhost. Setting `X-Forwarded-For: 127.0.0.1` in a request from a foreign host, will result in true for `ctx.IsFromLocal`. Access is limited to the scope of the affected process. This issue has been patched in version `2.49.2` with commit `b8c9ede6`. Users are advised to upgrade. There are no known workarounds to remediate this vulnerability without upgrading to the patched version. |
Vulnerability | ||
|
2023-09-08 19:15:43 | CVE-2023-38736 (lien direct) | IBM Qradar WinCollect Agent 10.0 à 10.1.6, lorsqu'il est installé pour s'exécuter en tant qu'administrateur ou système, est vulnérable à une escalade locale d'attaque de privilège qu'un utilisateur normal pourrait utiliser pour obtenir des autorisations système.IBM X-FORCE ID: 262542.
IBM QRadar WinCollect Agent 10.0 through 10.1.6, when installed to run as ADMIN or SYSTEM, is vulnerable to a local escalation of privilege attack that a normal user could utilize to gain SYSTEM permissions. IBM X-Force ID: 262542. |
|||
|
2023-09-08 18:15:07 | CVE-2023-28010 (lien direct) | Dans certains scénarios de configuration, le nom d'hôte Domino Server peut être exposé.Ces informations pourraient être utilisées pour cibler les futures attaques.
In some configuration scenarios, the Domino server host name can be exposed. This information could be used to target future attacks. |
|||
|
2023-09-08 18:15:07 | CVE-2023-4782 (lien direct) | Terraform Version 1.0.8 à 1.5.6 permet une écriture de fichiers arbitraire pendant l'opération «init» si vous exécutez sur une configuration de terraform conçue malicieusement.Cette vulnérabilité est fixée dans Terraform 1.5.7.
Terraform version 1.0.8 through 1.5.6 allows arbitrary file write during the `init` operation if run on maliciously crafted Terraform configuration. This vulnerability is fixed in Terraform 1.5.7. |
Vulnerability | ||
|
2023-09-08 18:15:07 | CVE-2023-39712 (lien direct) | Les vulnérabilités de scripts multiples-sites (XSS) dans le système de gestion des stocks gratuits et open source V1.0 permettent aux attaquants d'exécuter des scripts Web arbitraires ou HTML via l'injection d'une charge utile fabriquée dans le nom, l'adresse et les paramètres de l'entreprise sous la section Ajouter une nouvelle put.
Multiple cross-site scripting (XSS) vulnerabilities in Free and Open Source Inventory Management System v1.0 allows attackers to execute arbitrary web scripts or HTML via injecting a crafted payload into the Name, Address, and Company parameters under the Add New Put section. |
Vulnerability | ||
|
2023-09-08 17:15:30 | CVE-2023-4843 (lien direct) | Les versions de plate-forme Pega 7.1 à 8.8.3 sont affectées par un problème d'injection HTML avec un champ de nom utilisé dans Visual Business Director, mais ce champ ne peut être modifié que par un utilisateur administratif authentifié.
Pega Platform versions 7.1 to 8.8.3 are affected by an HTML Injection issue with a name field utilized in Visual Business Director, however this field can only be modified by an authenticated administrative user. |
|||
|
2023-09-08 17:15:28 | CVE-2023-39321 (lien direct) | Le traitement d'un message incomplet post-HandShake pour une connexion quic peut provoquer une panique.
Processing an incomplete post-handshake message for a QUIC connection can cause a panic. |
|||
|
2023-09-08 17:15:28 | CVE-2023-39322 (lien direct) | Les connexions de la quic ne définissent pas une limite supérieure sur la quantité de données tamponnées lors de la lecture des messages post-Handshake, permettant à une connexion de LaC malveillante pour provoquer une croissance de la mémoire illimitée.Avec FIX, les connexions rejettent désormais systématiquement les messages supérieurs à 65 KIB.
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size. |
|||
|
2023-09-08 17:15:27 | CVE-2023-39318 (lien direct) | Le package HTML / Template ne gère pas correctement les jetons "" de commentaires de type HTML, ni Hashbang "#!"COMMENTS TOKENS, dans des contextes .Cela peut amener l'analyseur à interpréter mal d'interpréter le contenu des contextes , ce qui fait échapper à mal les actions.Cela peut être exploité pour effectuer une attaque XSS.
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in contexts. This may cause the template parser to improperly interpret the contents of contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack. |
|||
|
2023-09-08 17:15:27 | CVE-2023-39319 (lien direct) | Le package HTML / Template n'applique pas les règles appropriées pour gérer les occurrences de " | |||
|
2023-09-08 17:15:27 | CVE-2023-39320 (lien direct) | La directive GO.Mod Toolchain, introduite dans GO 1.21, peut être exploitée pour exécuter des scripts et des binaires par rapport à la racine du module lorsque la commande "Go" a été exécutée dans le module.Cela s'applique aux modules téléchargés à l'aide de la commande "Go" à partir du proxy du module, ainsi qu'aux modules téléchargés directement à l'aide du logiciel VCS.
The go.mod toolchain directive, introduced in Go 1.21, can be leveraged to execute scripts and binaries relative to the root of the module when the "go" command was executed within the module. This applies to modules downloaded using the "go" command from the module proxy, as well as modules downloaded directly using VCS software. |
|||
|
2023-09-08 14:15:11 | CVE-2023-39676 (lien direct) | Le module de pré-réduct SimpleImportProduct V1.0.0 a été découvert qu'il contenait une vulnérabilité de script de site transversale réfléchie (XSS) via le paramètre de rappel à ajax.php.
SimpleImportProduct Prestashop Module v1.0.0 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the callback parameter at ajax.php. |
Vulnerability | ||
|
2023-09-08 13:15:08 | CVE-2023-40924 (lien direct) | Solarview Compact |
To see everything:
Our RSS (filtrered)
