SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-08-22 19:16:04	CVE-2020-19725 (lien direct)	Il y a une vulnérabilité d'utilisation après libre dans le fichier PDD_SIMPLIFIER.CPP en Z3 avant 4.8.8.Il se produit lorsque le solveur tente de simplifier les contraintes et provoque un accès à la mémoire inattendu.Il peut provoquer des défauts de segmentation ou une exécution de code arbitraire. There is a use-after-free vulnerability in file pdd_simplifier.cpp in Z3 before 4.8.8. It occurs when the solver attempt to simplify the constraints and causes unexpected memory access. It can cause segmentation faults or arbitrary code execution.	Vulnerability
	2023-08-22 19:16:03	CVE-2020-19724 (lien direct)	Un problème de consommation de mémoire dans la fonction GET_DATA dans Binutils / NM.C dans GNU NM avant 2.34 permet aux attaquants de provoquer un déni de service via la commande fabriquée. A memory consumption issue in get_data function in binutils/nm.c in GNU nm before 2.34 allows attackers to cause a denial of service via crafted command.
	2023-08-22 19:16:02	CVE-2020-19500 (lien direct)	Rejeter N'utilisez pas cet enregistrement CVE.ConsultIdS: Aucun.Raison: Ce dossier a été retiré par son CNA.Une enquête plus approfondie a montré que ce n'était pas un problème de sécurité.Remarques: Aucun. REJECT DO NOT USE THIS CVE RECORD. ConsultIDs: none. Reason: This record was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
	2023-08-22 19:16:01	CVE-2020-19190 (lien direct)	Vulnérabilité de débordement de tampon dans _nc_find_entry dans Tinfo / Comp_hash.c: 70 dans NCurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande fabriquée. Buffer Overflow vulnerability in _nc_find_entry in tinfo/comp_hash.c:70 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:16:01	CVE-2020-19189 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction postprocess_terminfo dans tinfo / parse_entry.c: 997 dans ncurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande fabriquée. Buffer Overflow vulnerability in postprocess_terminfo function in tinfo/parse_entry.c:997 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:16:00	CVE-2020-19188 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction fmt_entry dans progs / vidage_entry.c: 1116 dans ncurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande artisanale. Buffer Overflow vulnerability in fmt_entry function in progs/dump_entry.c:1116 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:15:59	CVE-2020-19187 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction fmt_entry dans progs / vidage_entry.c: 1100 dans ncurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande artisanale. Buffer Overflow vulnerability in fmt_entry function in progs/dump_entry.c:1100 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:15:58	CVE-2020-19186 (lien direct)	Vulnérabilité de débordement de tampon dans la fonction _nc_find_entry dans Tinfo / Comp_hash.c: 66 dans les ncurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande fabriquée. Buffer Overflow vulnerability in _nc_find_entry function in tinfo/comp_hash.c:66 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:15:57	CVE-2020-19185 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction one_one_mapping dans progs / vidage_entry.c: 1373 dans ncurses 6.1 permet aux attaquants distants de provoquer un déni de service via la commande fabriquée. Buffer Overflow vulnerability in one_one_mapping function in progs/dump_entry.c:1373 in ncurses 6.1 allows remote attackers to cause a denial of service via crafted command.	Vulnerability
	2023-08-22 19:15:56	CVE-2020-18781 (lien direct)	La vulnérabilité de débordement de tampon de tas dans filePosix :: lire dans file.cpp dans AudioFile 0.3.6 peut provoquer le déni de service via un fichier WAV fabriqué, ce bogue peut être déclenché par l'exécutable SFConvert. Heap buffer overflow vulnerability in FilePOSIX::read in File.cpp in audiofile 0.3.6 may cause denial-of-service via a crafted wav file, this bug can be triggered by the executable sfconvert.	Vulnerability
	2023-08-22 19:15:56	CVE-2020-18831 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction TextTodatabuf dans pngimage.cpp dans EXIV2 0.27.1 permet aux attaquants distants de provoquer un déni de service et d'autres impacts non spécifiés via l'utilisation du fichier fabriqué. Buffer Overflow vulnerability in tEXtToDataBuf function in pngimage.cpp in Exiv2 0.27.1 allows remote attackers to cause a denial of service and other unspecified impacts via use of crafted file.	Vulnerability
	2023-08-22 19:15:56	CVE-2020-18839 (lien direct)	La vulnérabilité de débordement de tampon dans htmloutputdev :: page dans poppler 0.75.0 permet aux attaquants de provoquer un déni de service. Buffer Overflow vulnerability in HtmlOutputDev::page in poppler 0.75.0 allows attackers to cause a denial of service.	Vulnerability
	2023-08-22 19:15:55	CVE-2020-18651 (lien direct)	Vulnérabilité de débordement de tampon dans la fonction id3_support :: id3v2frame :: getFrameValue dans EXEMPI 2.5.0 et permettent précédemment aux attaquants distants de provoquer un déni de service via l'ouverture du fichier audio conçu avec la trame ID3V2. Buffer Overflow vulnerability in function ID3_Support::ID3v2Frame::getFrameValue in exempi 2.5.0 and earlier allows remote attackers to cause a denial of service via opening of crafted audio file with ID3V2 frame.	Vulnerability
	2023-08-22 19:15:55	CVE-2020-18770 (lien direct)	Un problème a été découvert dans la fonction ZZIP_DISK_ENTRY_TO_FILE_HEADER dans MMAPP.C dans Zziplib 0.13.69, ce qui conduira à un déni de service. An issue was discovered in function zzip_disk_entry_to_file_header in mmapped.c in zziplib 0.13.69, which will lead to a denial-of-service.
	2023-08-22 19:15:55	CVE-2020-18780 (lien direct)	Une utilisation après une vulnérabilité gratuite dans la fonction new_token dans ASM / Preproc.c dans NASM 2.14.02 permet aux attaquants de provoquer un déni de service via la commande NASM fabriquée. A Use After Free vulnerability in function new_Token in asm/preproc.c in nasm 2.14.02 allows attackers to cause a denial of service via crafted nasm command.	Vulnerability
	2023-08-22 19:15:55	CVE-2020-18378 (lien direct)	Une déréfection du pointeur nul a été découverte dans sexpressionwasmbuilder :: makeblock in wasm / wasm-s-parser.c inBinaryen 1.38.26.Une entrée WASM fabriquée peut provoquer un défaut de segmentation, conduisant au déni de service, comme le montre WasM-AS. A NULL pointer dereference was discovered in SExpressionWasmBuilder::makeBlock in wasm/wasm-s-parser.c in Binaryen 1.38.26. A crafted wasm input can cause a segmentation fault, leading to denial-of-service, as demonstrated by wasm-as.
	2023-08-22 19:15:55	CVE-2020-18382 (lien direct)	Tas-buffer-overflow in /src/wasm/wasm-binary.cpp dans wasm :: wasmbinarybuilder :: VisitBlock (wasm :: block )Binaryen 1.38.26.Une entrée WASM fabriquée peut provoquer un défaut de segmentation, conduisant au déni de service, comme en témoigne WasM-Opt. Heap-buffer-overflow in /src/wasm/wasm-binary.cpp in wasm::WasmBinaryBuilder::visitBlock(wasm::Block) in Binaryen 1.38.26. A crafted wasm input can cause a segmentation fault, leading to denial-of-service, as demonstrated by wasm-opt.
	2023-08-22 19:15:55	CVE-2020-18652 (lien direct)	La vulnérabilité de débordement de tampon dans webp_support.cpp dans Exempi 2.5.0 et précédemment permet aux attaquants distants de provoquer un déni de service via l'ouverture d'un fichier WebP conçu. Buffer Overflow vulnerability in WEBP_Support.cpp in exempi 2.5.0 and earlier allows remote attackers to cause a denial of service via opening of crafted webp file.	Vulnerability
	2023-08-22 19:15:55	CVE-2020-18768 (lien direct)	Il existe un débordement de tampon de tas dans _tiffMemcpy dans TIF_UNIX.c dans LiBtiff 4.0.10, qui permet à un attaquant de provoquer un déni de service via un fichier TIFF fabriqué. There exists one heap buffer overflow in _TIFFmemcpy in tif_unix.c in libtiff 4.0.10, which allows an attacker to cause a denial-of-service through a crafted tiff file.
	2023-08-22 19:15:55	CVE-2020-18494 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction H5S_CLOSE dans H5s.c dans HDF5 1.10.4 permet aux attaquants distants d'exécuter du code arbitraire via la création d'un fichier artisanal. Buffer Overflow vulnerability in function H5S_close in H5S.c in HDF5 1.10.4 allows remote attackers to run arbitrary code via creation of crafted file.	Vulnerability
	2023-08-22 19:15:54	CVE-2020-18232 (lien direct)	La vulnérabilité de débordement de tampon dans la fonction H5S_CLOSE dans H5s.c dans HDF5 1.10.4 permet aux attaquants distants d'exécuter du code arbitraire via la création d'un fichier artisanal. Buffer Overflow vulnerability in function H5S_close in H5S.c in HDF5 1.10.4 allows remote attackers to run arbitrary code via creation of crafted file.	Vulnerability
	2023-08-22 01:15:08	CVE-2023-38908 (lien direct)	Un problème dans TPLINK SMART BUBB TAPO SERIES L530 V.1.0.0 et TAPO Application V.2.8.14 permet à un attaquant distant d'obtenir des informations sensibles via la fonction d'authentification TSKEP. An issue in TPLink Smart bulb Tapo series L530 v.1.0.0 and Tapo Application v.2.8.14 allows a remote attacker to obtain sensitive information via the TSKEP authentication function.
	2023-08-22 01:15:08	CVE-2023-38909 (lien direct)	Un problème dans TPLINK SMART BUBB TAPO Series L530 V.1.0.0 et TAPO Application V.2.8.14 permet à un attaquant distant d'obtenir des informations sensibles via le composant IV dans la fonction AES128-CBC. An issue in TPLink Smart bulb Tapo series L530 v.1.0.0 and Tapo Application v.2.8.14 allows a remote attacker to obtain sensitive information via the IV component in the AES128-CBC function.
	2023-08-22 00:15:07	CVE-2023-38906 (lien direct)	Un problème dans TPLINK SMART BUBB TAPO SERIES L530 V.1.0.0 et TAPO Application V.2.8.14 permet à un attaquant distant d'obtenir des informations sensibles via le code d'authentification pour le message UDP. An issue in TPLink Smart bulb Tapo series L530 v.1.0.0 and Tapo Application v.2.8.14 allows a remote attacker to obtain sensitive information via the authentication code for the UDP message.
	2023-08-21 23:15:09	CVE-2023-4303 (lien direct)	Jenkins Fortify Fortify Plugin 22.1.38 et plus tôt n'échappe pas au message d'erreur pour une méthode de validation de formulaire, ce qui entraîne une vulnérabilité d'injection HTML. Jenkins Fortify Plugin 22.1.38 and earlier does not escape the error message for a form validation method, resulting in an HTML injection vulnerability.
	2023-08-21 23:15:09	CVE-2023-4302 (lien direct)	Une vérification de l'autorisation manquante dans Jenkins Fortify Fortify Plugin 22.1.38 et précédemment permet aux attaquants avec une autorisation globale / en lecture de se connecter à une URL spécifiée par l'attaquant à l'aide d'ID d'identification spécifiés par l'attaquant obtenus via une autre méthode, capturant les informations d'identification stockées dans Jenkins. A missing permission check in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
	2023-08-21 23:15:09	CVE-2023-4301 (lien direct)	Une vulnérabilité de contrefaçon de demande croisée (CSRF) dans Jenkins Fortify Fortify Plugin 22.1.38 et précédemment permet aux attaquants de se connecter à une URL spécifiée par l'attaquant utilisant des ID d'identification spécifiés par l'attaquant obtenus via une autre méthode, capturant les informations d'identification stockées dans Jenkins. A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.	Vulnerability
	2023-08-21 21:15:09	CVE-2023-25915 (lien direct)	En raison d'une mauvaise validation d'entrée, un attaquant distant pourrait exécuter des commandes arbitraires sur le système cible. Due to improper input validation, a remote attacker could execute arbitrary commands on the target system.
	2023-08-21 21:15:08	CVE-2023-25914 (lien direct)	En raison d'une mauvaise restriction, les attaquants peuvent récupérer et lire les fichiers système du serveur sous-jacent via l'interface XML. Due to improper restriction, attackers could retrieve and read system files of the underlying server through the XML interface.
	2023-08-21 21:15:07	CVE-2023-25913 (lien direct)	En raison d'un défaut d'authentification, un attaquant serait capable de générer un rapport Web qui révèle des informations sensibles telles que les adresses IP internes, les noms d'utilisateur, les noms de magasin et autres informations sensibles. Because of an authentication flaw an attacker would be capable of generating a web report that discloses sensitive information such as internal IP addresses, usernames, store names and other sensitive information.
	2023-08-21 20:15:08	CVE-2023-38158 (lien direct)	Microsoft Edge (basée sur le chrome) Vulnérabilité de divulgation Microsoft Edge (Chromium-based) Information Disclosure Vulnerability	Vulnerability
	2023-08-21 20:15:08	CVE-2023-36787 (lien direct)	Élévation de Microsoft Edge (à base de chrome) de la vulnérabilité des privilèges Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability	Vulnerability
	2023-08-21 19:15:09	CVE-2023-4417 (lien direct)	Les contrôles d'accès incorrects dans le composant de duplication de saisie dans Devolutions Remote Desktop Manager 2023.2.19 et les versions antérieures sur Windows permet à un utilisateur authentifié, dans des circonstances spécifiques, de partager par inadvertance leur entrée de coffre-fort personnelle avec des coffres voûtés partagés via un coffre-fort incorrect dans le processus d'écriture de duplication. Improper access controls in the entry duplication component in Devolutions Remote Desktop Manager 2023.2.19 and earlier versions on Windows allows an authenticated user, under specific circumstances, to inadvertently share their personal vault entry with shared vaults via an incorrect vault in the duplication write process.
	2023-08-21 19:15:09	CVE-2023-4459 (lien direct)	Une faille de déréférence du pointeur nul a été trouvée dans VMXNET3_RQ_CLEANUP dans les pilotes / net / vmxnet3 / vmxnet3_drv.c dans le sous-composant de mise en réseau dans VMXNET3 dans le noyau Linux.Ce problème peut permettre à un attaquant local avec un privilège utilisateur normal de provoquer un déni de service en raison d'un contrôle de santé mental manquant pendant le nettoyage. A NULL pointer dereference flaw was found in vmxnet3_rq_cleanup in drivers/net/vmxnet3/vmxnet3_drv.c in the networking sub-component in vmxnet3 in the Linux Kernel. This issue may allow a local attacker with normal user privilege to cause a denial of service due to a missing sanity check during cleanup.
	2023-08-21 19:15:08	CVE-2023-40352 (lien direct)	McAfee Safe Connect avant 2.16.1.126 peut permettre un adversaire avec des privilèges système pour atteindre l'escalade des privilèges en chargeant des DLL arbitraires. McAfee Safe Connect before 2.16.1.126 may allow an adversary with system privileges to achieve privilege escalation by loading arbitrary DLLs.
	2023-08-21 19:15:08	CVE-2023-4373 (lien direct)	Validation inadéquate des autorisations lors de l'utilisation d'outils distants et de macros dans les versions de Devolutions Remote Desktop Manager 2023.2.19 et permet un utilisateur antérieur à initier une connexion sans droits d'exécution appropriés via la fonction d'outils distants. Inadequate validation of permissions when employing remote tools and macros within Devolutions Remote Desktop Manager versions 2023.2.19 and earlier permits a user to initiate a connection without proper execution rights via the remote tools feature.	Tool
	2023-08-21 17:15:50	CVE-2023-4456 (lien direct)	Une faille a été trouvée dans le Lokistack OpenShift-Logging.La clé utilisée pour la mise en cache n'est que le jeton, qui est trop large.Ce problème permet à un utilisateur avec un jeton valide pour une action pour exécuter d'autres actions tant que l'autorisation permettant à l'action originale soit toujours mise en cache. A flaw was found in openshift-logging LokiStack. The key used for caching is just the token, which is too broad. This issue allows a user with a token valid for one action to execute other actions as long as the authorization allowing the original action is still cached.
	2023-08-21 17:15:50	CVE-2023-3954 (lien direct)	La livraison des multiparcels pour le plugin WooCommerce WordPress avant 1.15.4 ne désinfecte pas et n'échappe pas à un paramètre avant de le récupérer dans la page, conduisant à un script de site transversal réfléchi qui pourrait être utilisé contre des utilisateurs de privilèges élevés tels que l'administrateur The MultiParcels Shipping For WooCommerce WordPress plugin before 1.15.4 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
	2023-08-21 17:15:49	CVE-2023-3604 (lien direct)	Le plugin WordPress de connexion WP Admin de modification avant 1.1.4 révèle l'URL de la page de connexion masquée lors de l'accès à une URL fabriquée, en contournant la protection offerte. The Change WP Admin Login WordPress plugin before 1.1.4 discloses the URL of the hidden login page when accessing a crafted URL, bypassing the protection offered.
	2023-08-21 17:15:49	CVE-2023-3936 (lien direct)	Le plugin WordPress Blog2Social avant 7.2.1 ne désinfecte pas et n'échappe pas à un paramètre avant de le récupérer dans la page, conduisant à un script transversal réfléchi qui pourrait être utilisé contre des utilisateurs de haut privilège tels que l'administrateur The Blog2Social WordPress plugin before 7.2.1 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin
	2023-08-21 17:15:49	CVE-2023-3667 (lien direct)	Le plugin WordPress d'assistance bit avant 1.1.9 ne désinfecte pas et n'échappe pas à certains de ses paramètres, ce qui pourrait permettre aux utilisateurs de privilèges élevés tels que l'administrateur d'effectuer des attaques de scripts inter-sites stockées même lorsque la capacité non filtrée_html est interdite (par exemple dans la configuration multisite)) The Bit Assist WordPress plugin before 1.1.9 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup)
	2023-08-21 17:15:48	CVE-2023-39094 (lien direct)	La vulnérabilité des scripts du site croisé dans Zerowdd StudentManager V.1.0 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre de nom d'utilisateur dans la fonction de liste des étudiants. Cross Site Scripting vulnerability in ZeroWdd studentmanager v.1.0 allows a remote attacker to execute arbitrary code via the username parameter in the student list function.	Vulnerability
	2023-08-21 17:15:48	CVE-2023-3366 (lien direct)	La livraison des multiparcels pour le plugin WooCommerce WordPress avant 1.15.2 n'a pas de vérification CRSF lors de la suppression d'une expédition, permettant aux attaquants de faire un utilisateur enregistré, supprimez l'expédition arbitraire via une attaque CSRF The MultiParcels Shipping For WooCommerce WordPress plugin before 1.15.2 does not have CRSF check when deleting a shipment, allowing attackers to make any logged in user, delete arbitrary shipment via a CSRF attack
	2023-08-21 17:15:48	CVE-2023-38976 (lien direct)	Un problème dans Weavate V.1.20.0 permet à un attaquant distant de provoquer un déni de service via la fonction HandleUnBatchEdGraphQlRequest. An issue in weaviate v.1.20.0 allows a remote attacker to cause a denial of service via the handleUnbatchedGraphQLRequest function.
	2023-08-21 17:15:48	CVE-2023-39061 (lien direct)	La vulnérabilité de la contrefaçon de demande de site croisé (CSRF) dans Chamilo V.1.11 à V.1.11.20 permet à un attaquant privilégié authentifié distant d'exécuter du code arbitraire. Cross Site Request Forgery (CSRF) vulnerability in Chamilo v.1.11 thru v.1.11.20 allows a remote authenticated privileged attacker to execute arbitrary code.	Vulnerability
	2023-08-21 17:15:48	CVE-2023-39106 (lien direct)	Un problème dans le groupe NACOS NACOS Spring Project V.1.1.1 et avant permet à un attaquant distant d'exécuter du code arbitraire via le composant SnakeyAmls Constructor (). An issue in Nacos Group Nacos Spring Project v.1.1.1 and before allows a remote attacker to execute arbitrary code via the SnakeYamls Constructor() component.
	2023-08-21 17:15:48	CVE-2023-39660 (lien direct)	Un problème dans Gaberiele Venturi Pandasai V.0.8.0 et avant permet à un attaquant distant d'exécuter du code arbitraire via une demande fabriquée à la fonction invite. An issue in Gaberiele Venturi pandasai v.0.8.0 and before allows a remote attacker to execute arbitrary code via a crafted request to the prompt function.
	2023-08-21 17:15:47	CVE-2023-38836 (lien direct)	La vulnérabilité de téléchargement de fichiers dans BOIDCMS V.2.0.0 permet à un attaquant distant d'exécuter du code arbitraire via le composant d'en-tête GIF. File Upload vulnerability in BoidCMS v.2.0.0 allows a remote attacker to execute arbitrary code via the GIF header component.	Vulnerability
	2023-08-21 17:15:47	CVE-2023-32002 (lien direct)	L'utilisation de `module._load ()` peut contourner le mécanisme de politique et nécessiter des modules en dehors de la définition de stratégie.json pour un module donné. Cette vulnérabilité affecte tous les utilisateurs utilisant le mécanisme de politique expérimentale dans toutes les lignes de libération active: 16.x, 18.x et, 20.x. Veuillez noter qu'au moment où ce CVE a été émis, la politique est une caractéristique expérimentale de Node.js. The use of `Module._load()` can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. This vulnerability affects all users using the experimental policy mechanism in all active release lines: 16.x, 18.x and, 20.x. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js.	Vulnerability
	2023-08-21 17:15:47	CVE-2023-38035 (lien direct)	Une vulnérabilité de sécurité dans le portail d'administration MICS dans les versions Ivanti MobileIron Sentry 9.18.0 et ci-dessous, ce qui peut permettre à un attaquant de contourner les contrôles d'authentification sur l'interface administrative en raison d'une configuration Apache Httpd insuffisamment restrictive. A security vulnerability in MICS Admin Portal in Ivanti MobileIron Sentry versions 9.18.0 and below, which may allow an attacker to bypass authentication controls on the administrative interface due to an insufficiently restrictive Apache HTTPD configuration.	Vulnerability

Last update at: 2024-08-01 18:18:47
See our sources.

To see everything: Our RSS (filtrered)