SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-08-21 17:15:47	CVE-2023-38836 (lien direct)	La vulnérabilité de téléchargement de fichiers dans BOIDCMS V.2.0.0 permet à un attaquant distant d'exécuter du code arbitraire via le composant d'en-tête GIF. File Upload vulnerability in BoidCMS v.2.0.0 allows a remote attacker to execute arbitrary code via the GIF header component.	Vulnerability
	2023-08-21 17:15:46	CVE-2023-31447 (lien direct)	user_login.cgi sur les appareils Draytek Vigor2620 avant 3.9.8.4 (et sur toutes les versions des périphériques Vigor2925) permet aux attaquants d'envoyer une charge utile fabriquée pour modifier le contenu du segment de code, insérer ShellCode et exécuter du code arbitraire. user_login.cgi on Draytek Vigor2620 devices before 3.9.8.4 (and on all versions of Vigor2925 devices) allows attackers to send a crafted payload to modify the content of the code segment, insert shellcode, and execute arbitrary code.
	2023-08-21 17:15:46	CVE-2022-4367 (lien direct)	Rejeter Duplicate, utilisez CVE-2023-4279 à la place. REJECT Duplicate, use CVE-2023-4279 instead.
	2023-08-21 12:15:09	CVE-2023-40735 (lien direct)	L'exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée dans le projet de bouton papillon - Butterfly Button (architecture) permet une perte de déni plausible, la confidentialité. Ce problème affecte le bouton papillon: en 2023-08-21. Exposure of Sensitive Information to an Unauthorized Actor vulnerability in BUTTERFLY BUTTON PROJECT - BUTTERFLY BUTTON (Architecture) allows loss of plausible deniability, confidentiality.This issue affects BUTTERFLY BUTTON: As of 2023-08-21.	Vulnerability
	2023-08-21 12:15:08	CVE-2023-38899 (lien direct)	La vulnérabilité de l'injection SQL dans Berkaygediz O_Blog V.1.0 permet à un attaquant local de dégénérer les privilèges via le composant Secure_File_Priv. SQL injection vulnerability in berkaygediz O_Blog v.1.0 allows a local attacker to escalate privileges via the secure_file_priv component.	Vulnerability
	2023-08-21 12:15:07	CVE-2020-28715 (lien direct)	Un problème a été découvert dans le service KDMServer dans la version Leco letv x43 V2401RCN02C080080B04121S, permet aux attaquants d'exécuter du code arbitraire, de dégénérer les privilèges et de provoquer un déni de service (DOS). An issue was discovered in kdmserver service in LeEco LeTV X43 version V2401RCN02C080080B04121S, allows attackers to execute arbitrary code, escalate privileges, and cause a denial of service (DoS).
	2023-08-21 11:15:07	CVE-2023-3481 (lien direct)	Les versions Critters 0.0.17-0.0.19 ont un problème lors de l'analyse du HTML, ce qui conduit à un bogue potentiel de scripts croisés (XSS).Nous vous recommandons de passer à la version 0.0.20 de l'extension. & Acirc; & nbsp; Critters versions 0.0.17-0.0.19 have an issue when parsing the HTML, which leads to a potential cross-site scripting (XSS) bug. We recommend upgrading to version 0.0.20 of the extension.Â
	2023-08-21 10:15:10	CVE-2023-4455 (lien direct)	Le contrefaçon de demande de site transversal (CSRF) dans le référentiel GitHub Wallabag / Wallabag avant 2.6.3. Cross-Site Request Forgery (CSRF) in GitHub repository wallabag/wallabag prior to 2.6.3.
	2023-08-21 10:15:09	CVE-2023-4454 (lien direct)	Le contrefaçon de demande de site transversal (CSRF) dans le référentiel GitHub Wallabag / Wallabag avant 2.6.3. Cross-Site Request Forgery (CSRF) in GitHub repository wallabag/wallabag prior to 2.6.3.
	2023-08-21 10:15:09	CVE-2023-4453 (lien direct)	Scripting inter-site (XSS) - reflété dans le référentiel GitHub Pimcore / Pimcore avant 10.6.8. Cross-site Scripting (XSS) - Reflected in GitHub repository pimcore/pimcore prior to 10.6.8.
	2023-08-21 09:15:10	CVE-2023-40068 (lien direct)	Vulnérabilité de script inter-sites dans les versions de champs personnalisées avancées 6.1.0 à 6.1.7 et les versions de champ personnalisées avancées.dans le produit avec le privilège administratif. Cross-site scripting vulnerability in Advanced Custom Fields versions 6.1.0 to 6.1.7 and Advanced Custom Fields Pro versions 6.1.0 to 6.1.7 allows a remote authenticated attacker to execute an arbitrary script on the web browser of the user who is logging in to the product with the administrative privilege.	Vulnerability
	2023-08-21 09:15:10	CVE-2023-39939 (lien direct)	La vulnérabilité de l'injection SQL dans le calendrier Web de Luxcal avant 5.2.3m (version MySQL) et le calendrier Web Luxcal avant 5.2.3l (version SQLite) permet à un attaquant non authentifié distant d'exécuter des questions arbitraires contre la base de données et d'obtenir ou de modifier les informations. SQL injection vulnerability in LuxCal Web Calendar prior to 5.2.3M (MySQL version) and LuxCal Web Calendar prior to 5.2.3L (SQLite version) allows a remote unauthenticated attacker to execute arbitrary queries against the database and obtain or alter the information in it.	Vulnerability
	2023-08-21 09:15:09	CVE-2023-39543 (lien direct)	Vulnérabilité des scripts inter-sites dans le calendrier Web Luxcal avant 5.2.3m (version MySQL) et le calendrier Web Luxcal avant 5.2.3l (SQLITEVersion) permet à un attaquant non authentifié distant d'exécuter un script arbitraire sur le navigateur Web de l'utilisateur qui utilise le produit. Cross-site scripting vulnerability in LuxCal Web Calendar prior to 5.2.3M (MySQL version) and LuxCal Web Calendar prior to 5.2.3L (SQLite version) allows a remote unauthenticated attacker to execute an arbitrary script on the web browser of the user who is using the product.	Vulnerability
	2023-08-21 07:15:33	CVE-2022-46751 (lien direct)	Restriction incorrecte de la référence de l'entité externe XML, injection XML (injection AKA aveugle XPATH) dans la Fondation du logiciel Apache Apache IVY. Ce problème affecte toute version d'Apache IVY avant 2.5.2. Lorsque Apache Ivy avant 2.5.2 Parses Fichiers XML - Ses propres fichiers de configuration, IVY ou APCACH MAVEN POMS - il permettra au téléchargement des définitions de type de documents externes et à l'élargir toutes les références d'entité contenues à celle-ci lors de l'utilisation. Cela peut être utilisé pour exfiltrer les données, accéder aux ressources que la machine en cours d'exécution a accès ou perturber l'exécution de l'IVY de différentes manières. En commençant par l'IVY 2.5.2 Le traitement DTD est désactivé par défaut, sauf lors de l'analyse des Poms Maven où la valeur par défaut est de permettre le traitement DTD mais uniquement pour inclure un extrait DTD avec un Ivy qui est nécessaire pour traiter les POM Maven existants qui ne sont pas des fichiers XML validesmais sont néanmoins acceptés par Maven.L'accès peut être rendu plus indulgent via les propriétés du système nouvellement introduites si nécessaire. Les utilisateurs d'Ivy avant la version 2.5.2 peuvent utiliser les propriétés du système Java pour restreindre le traitement des DTD externes, consultez la section sur "Jaxp Properties for External Access Restrictions" dans le guide de sécurité "Java API pour le traitement XML (JAXP) d'Oracle \\ pour le traitement XML (JAXP)". Improper Restriction of XML External Entity Reference, XML Injection (aka Blind XPath Injection) vulnerability in Apache Software Foundation Apache Ivy.This issue affects any version of Apache Ivy prior to 2.5.2. When Apache Ivy prior to 2.5.2 parses XML files - either its own configuration, Ivy files or Apache Maven POMs - it will allow downloading external document type definitions and expand any entity references contained therein when used. This can be used to exfiltrate data, access resources only the machine running Ivy has access to or disturb the execution of Ivy in different ways. Starting with Ivy 2.5.2 DTD processing is disabled by default except when parsing Maven POMs where the default is to allow DTD processing but only to include a DTD snippet shipping with Ivy that is needed to deal with existing Maven POMs that are not valid XML files but are nevertheless accepted by Maven. Access can be be made more lenient via newly introduced system properties where needed. Users of Ivy prior to version 2.5.2 can use Java system properties to restrict processing of external DTDs, see the section about "JAXP Properties for External Access restrictions" inside Oracle\'s "Java API for XML Processing (JAXP) Security Guide".	Vulnerability
	2023-08-21 03:15:13	CVE-2023-4450 (lien direct)	Une vulnérabilité a été trouvée dans Jeecgboot Jimureport jusqu'à 1,6.0.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du gestionnaire de modèles de composants.La manipulation entraîne une injection.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 1.6.1 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant associé de cette vulnérabilité est VDB-237571. A vulnerability was found in jeecgboot JimuReport up to 1.6.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Template Handler. The manipulation leads to injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 1.6.1 is able to address this issue. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-237571.	Vulnerability
	2023-08-21 03:15:11	CVE-2023-39747 (lien direct)	TP-Link W841N V8, TP-Link TL-WR940N V2 et TL-WR941ND V5 ont été découverts pour contenir un débordement de tampon via le paramètre RadiusCret AT / USERRPM / WLANSECURYRPM. TP-Link WR841N V8, TP-Link TL-WR940N V2, and TL-WR941ND V5 were discovered to contain a buffer overflow via the radiusSecret parameter at /userRpm/WlanSecurityRpm.
	2023-08-21 03:15:11	CVE-2023-39751 (lien direct)	TP-Link TL-WR941ND V6 a été découvert qu'il contenait un débordement de tampon via le paramètre PSIZE AT / USERRPM / PINGIFRAMERPM. TP-Link TL-WR941ND V6 were discovered to contain a buffer overflow via the pSize parameter at /userRpm/PingIframeRpm.
	2023-08-21 03:15:11	CVE-2023-39750 (lien direct)	D-Link DAP-2660 V1.13 a été découvert qu'il contenait un débordement de tampon via le paramètre F_IPV6_enable à / bsc_ipv6.Cette vulnérabilité est exploitée via une demande de poste fabriquée. D-Link DAP-2660 v1.13 was discovered to contain a buffer overflow via the f_ipv6_enable parameter at /bsc_ipv6. This vulnerability is exploited via a crafted POST request.	Vulnerability
	2023-08-21 03:15:11	CVE-2023-39749 (lien direct)	D-Link DAP-2660 V1.13 a été découvert qu'il contenait un débordement de tampon via le composant / adv_resource.Cette vulnérabilité est exploitée via une demande de GET fabriquée. D-Link DAP-2660 v1.13 was discovered to contain a buffer overflow via the component /adv_resource. This vulnerability is exploited via a crafted GET request.	Vulnerability
	2023-08-21 03:15:11	CVE-2023-39745 (lien direct)	TP-LINK TL-WR940N V2, TP-LINK TL-WR941ND V5 et TP-Link TL-WR841N V8 ont été découverts pour contenir un débordement de tampon via le composant / userRPM / AccessCtrlaccessRulesrpm.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une demande de GET fabriquée. TP-Link TL-WR940N V2, TP-Link TL-WR941ND V5 and TP-Link TL-WR841N V8 were discovered to contain a buffer overflow via the component /userRpm/AccessCtrlAccessRulesRpm. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted GET request.	Vulnerability
	2023-08-21 03:15:11	CVE-2023-39748 (lien direct)	Un problème dans le composant / USERRPM / NetworkCFGRPM de TP-Link TL-WR1041N V2 permet aux attaquants de provoquer un déni de service (DOS) via une demande de GET fabriquée. An issue in the component /userRpm/NetworkCfgRpm of TP-Link TL-WR1041N V2 allows attackers to cause a Denial of Service (DoS) via a crafted GET request.
	2023-08-21 02:15:10	CVE-2023-4447 (lien direct)	Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1 et classée comme critique.Cette vulnérabilité affecte le code inconnu du fichier admin / article-chat.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-237568. A vulnerability has been found in OpenRapid RapidCMS 1.3.1 and classified as critical. This vulnerability affects unknown code of the file admin/article-chat.php. The manipulation of the argument id leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-237568.	Vulnerability
	2023-08-21 02:15:10	CVE-2023-4448 (lien direct)	Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1 et classée comme critique.Ce problème affecte un traitement inconnu du fichier admin / run-movepass.php.La manipulation de l'argument mot de passe / mot de passe2 conduit à une faible récupération de mot de passe.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant du patch est 4DFF387283060961C362D50105FF8DA8EA40BCBE.Il est recommandé d'appliquer un correctif pour résoudre ce problème.L'identifiant VDB-237569 a été attribué à cette vulnérabilité. A vulnerability was found in OpenRapid RapidCMS 1.3.1 and classified as critical. This issue affects some unknown processing of the file admin/run-movepass.php. The manipulation of the argument password/password2 leads to weak password recovery. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of the patch is 4dff387283060961c362d50105ff8da8ea40bcbe. It is recommended to apply a patch to fix this issue. The identifier VDB-237569 was assigned to this vulnerability.	Vulnerability
	2023-08-21 02:15:10	CVE-2023-4449 (lien direct)	Une vulnérabilité a été trouvée dans Sourcecodeter Free and Open Source Inventory Management System 1.0.Il a été classé comme critique.Affecté est une fonction inconnue du fichier /index.php?page=Member.La manipulation des colonnes d'argument [0] [données] conduit à l'injection de SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-237570 est l'identifiant attribué à cette vulnérabilité. A vulnerability was found in SourceCodester Free and Open Source Inventory Management System 1.0. It has been classified as critical. Affected is an unknown function of the file /index.php?page=member. The manipulation of the argument columns[0][data] leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-237570 is the identifier assigned to this vulnerability.	Vulnerability
	2023-08-21 02:15:09	CVE-2023-39618 (lien direct)	Totolink x5000R B20210419 a été découvert que contenait une vulnérabilité d'exécution de code distant (RCE) via l'interface SetTracerateCFG. TOTOLINK X5000R B20210419 was discovered to contain a remote code execution (RCE) vulnerability via the setTracerouteCfg interface.	Vulnerability
	2023-08-21 02:15:09	CVE-2023-39617 (lien direct)	TOTOLINK X5000R_V9.1.0CU.2089_B20211224 et X5000R_V9.1.0CU.2350_B20230313 a été découvert pour contenir une vulnérabilité d'exécution de code distant (RCE) via le paramètre Lang dans la fonction SetLanguageCFG. TOTOLINK X5000R_V9.1.0cu.2089_B20211224 and X5000R_V9.1.0cu.2350_B20230313 were discovered to contain a remote code execution (RCE) vulnerability via the lang parameter in the setLanguageCfg function.	Vulnerability
	2023-08-21 01:15:10	CVE-2023-4446 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans OpenRapid RapidCMS 1.3.1.Cela affecte une partie inconnue du modèle de fichier / default / category.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-237567. A vulnerability, which was classified as critical, was found in OpenRapid RapidCMS 1.3.1. This affects an unknown part of the file template/default/category.php. The manipulation of the argument id leads to sql injection. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-237567.	Vulnerability
	2023-08-21 01:15:10	CVE-2023-4445 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Mini-Tmall jusqu'en 20230811. affecté par ce problème est une fonctionnalité inconnue du produit de fichier / 1/1? Test = 1 & amp; test2 = 2 & amp;.La manipulation de l'ordre des arguments conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-237566 est l'identifiant attribué à cette vulnérabilité. A vulnerability, which was classified as critical, has been found in Mini-Tmall up to 20230811. Affected by this issue is some unknown functionality of the file product/1/1?test=1&test2=2&. The manipulation of the argument orderBy leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-237566 is the identifier assigned to this vulnerability.
	2023-08-21 01:15:10	CVE-2023-4443 (lien direct)	Une vulnérabilité classifiée comme critique a été trouvée dans le système de gestion hospitalier libre de Sourcecodeter pour les petites pratiques 1.0 / 5.0.12.Affecté est une fonction inconnue du fichier VM \ doctor \ edit-doc.php.La manipulation de l'argument ID00 / NIC / Oldemail / Email / Spec / Tele mène à l'injection SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-237564. A vulnerability classified as critical has been found in SourceCodester Free Hospital Management System for Small Practices 1.0/5.0.12. Affected is an unknown function of the file vm\doctor\edit-doc.php. The manipulation of the argument id00/nic/oldemail/email/spec/Tele leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-237564.	Vulnerability
	2023-08-21 01:15:10	CVE-2023-4444 (lien direct)	Une vulnérabilité classée comme critique a été trouvée dans le système de gestion hospitalier libre de Sourcecodeter pour les petites pratiques 1.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier VM \ patient \ edit-user.php.La manipulation de l'argument ID00 / NIC / Oldemail / Email / Spec / Tele mène à l'injection SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-237565 a été attribué à cette vulnérabilité. A vulnerability classified as critical was found in SourceCodester Free Hospital Management System for Small Practices 1.0. Affected by this vulnerability is an unknown functionality of the file vm\patient\edit-user.php. The manipulation of the argument id00/nic/oldemail/email/spec/Tele leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-237565 was assigned to this vulnerability.	Vulnerability
	2023-08-21 01:15:09	CVE-2023-39809 (lien direct)	N.V.K.inter CO., Ltd.(NVK) IBSG V3.5 a été découvert contenant une vulnérabilité d'injection de commande via le paramètre System_hostname à /manage/network-basic.php. N.V.K.INTER CO., LTD. (NVK) iBSG v3.5 was discovered to contain a command injection vulnerability via the system_hostname parameter at /manage/network-basic.php.	Vulnerability
	2023-08-21 01:15:09	CVE-2023-39785 (lien direct)	Tenda AC8V4 V16.03.34.06 a été découvert pour contenir un débordement de pile via le paramètre de liste dans la fonction set_qosmib_list. Tenda AC8V4 V16.03.34.06 was discovered to contain a stack overflow via the list parameter in the set_qosMib_list function.
	2023-08-21 01:15:09	CVE-2023-39786 (lien direct)	Tenda AC8V4 V16.03.34.06 a été découvert pour contenir un débordement de pile via le paramètre de temps dans la fonction SSCANF. Tenda AC8V4 V16.03.34.06 was discovered to contain a stack overflow via the time parameter in the sscanf function.
	2023-08-21 01:15:09	CVE-2023-39807 (lien direct)	N.V.K.inter CO., Ltd.(NVK) IBSG V3.5 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre A_PassWD sur /portal/user-gregister.php. N.V.K.INTER CO., LTD. (NVK) iBSG v3.5 was discovered to contain a SQL injection vulnerability via the a_passwd parameter at /portal/user-register.php.	Vulnerability
	2023-08-21 01:15:09	CVE-2023-39808 (lien direct)	N.V.K.inter CO., Ltd.(NVK) IBSG V3.5 a été découvert qu'il contenait un mot de passe racine codé en dur qui permet aux attaquants de se connecter avec des privilèges racine via le service SSH. N.V.K.INTER CO., LTD. (NVK) iBSG v3.5 was discovered to contain a hardcoded root password which allows attackers to login with root privileges via the SSH service.
	2023-08-21 01:15:08	CVE-2023-39784 (lien direct)	Tenda AC8V4 V16.03.34.06 a été découvert qu'il contenait un débordement de pile via le paramètre de liste dans la fonction Save_Virtualser_Data. Tenda AC8V4 V16.03.34.06 was discovered to contain a stack overflow via the list parameter in the save_virtualser_data function.
	2023-08-21 00:15:09	CVE-2023-4441 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion des hôpitaux libre de Sourcecodeter pour les petites pratiques 1.0.Il a été déclaré comme critique.Cette vulnérabilité affecte le code inconnu du fichier /patient/appointment.php.La manipulation de l'argument Sheduledate conduit à l'injection de SQL.L'attaque peut être initiée à distance.VDB-237562 est l'identifiant attribué à cette vulnérabilité. A vulnerability was found in SourceCodester Free Hospital Management System for Small Practices 1.0. It has been declared as critical. This vulnerability affects unknown code of the file /patient/appointment.php. The manipulation of the argument sheduledate leads to sql injection. The attack can be initiated remotely. VDB-237562 is the identifier assigned to this vulnerability.	Vulnerability
	2023-08-21 00:15:09	CVE-2023-4442 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion des hôpitaux libre de Sourcecodeter pour les petites pratiques 1.0.Il a été évalué comme critique.Ce problème affecte un traitement inconnu du fichier \ vm \ patient \ booking-complete.php.La manipulation de l'argument UserId / Apponum / SchedualId conduit à l'injection SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-237563. A vulnerability was found in SourceCodester Free Hospital Management System for Small Practices 1.0. It has been rated as critical. This issue affects some unknown processing of the file \vm\patient\booking-complete.php. The manipulation of the argument userid/apponum/scheduleid leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-237563.	Vulnerability
	2023-08-20 23:15:10	CVE-2023-4439 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion du support de carte SourceCodeter 1.0 et classifiée comme problématique.Ce problème est une fonctionnalité inconnue du composant MINUS VALEUR HANDER.La manipulation conduit à une mauvaise validation de la quantité spécifiée en entrée.L'attaque peut être lancée à distance.L'identifiant de cette vulnérabilité est VDB-237560. A vulnerability was found in SourceCodester Card Holder Management System 1.0 and classified as problematic. Affected by this issue is some unknown functionality of the component Minus Value Handler. The manipulation leads to improper validation of specified quantity in input. The attack may be launched remotely. The identifier of this vulnerability is VDB-237560.	Vulnerability
	2023-08-20 23:15:10	CVE-2023-4440 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion des hôpitaux libre de Sourcecodeter pour les petites pratiques 1.0.Il a été classé comme critique.Cela affecte une partie inconnue du dossier nomination.php.La manipulation de l'argument Sheduledate conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-237561 a été attribué à cette vulnérabilité. A vulnerability was found in SourceCodester Free Hospital Management System for Small Practices 1.0. It has been classified as critical. This affects an unknown part of the file appointment.php. The manipulation of the argument sheduledate leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-237561 was assigned to this vulnerability.	Vulnerability
	2023-08-20 23:15:09	CVE-2023-4438 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion des stocks SourceCodeter 1.0 et classifiée comme critique.Cette vulnérabilité est une fonctionnalité inconnue de l'application de fichier / ajax / search_sales_report.php.La manipulation du client d'argument conduit à l'injection SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-237559. A vulnerability has been found in SourceCodester Inventory Management System 1.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file app/ajax/search_sales_report.php. The manipulation of the argument customer leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-237559.	Vulnerability
	2023-08-20 22:15:11	CVE-2023-4437 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans le système de gestion des stocks Sourcecodeter 1.0.Affecté est une fonction inconnue du fichier app / ajax / search_sell_paymen_report.php.La manipulation du client d'argument conduit à l'injection SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-237558 est l'identifiant attribué à cette vulnérabilité. A vulnerability, which was classified as critical, was found in SourceCodester Inventory Management System 1.0. Affected is an unknown function of the file app/ajax/search_sell_paymen_report.php. The manipulation of the argument customer leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-237558 is the identifier assigned to this vulnerability.
	2023-08-20 22:15:10	CVE-2023-4436 (lien direct)	Une vulnérabilité, qui a été classée comme critique, a été trouvée dans le système de gestion des stocks Sourcecodeter 1.0.Ce problème affecte un traitement inconnu de l'application de fichier / action / edit_update.php.La manipulation de l'argument user_id conduit à l'injection SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-237557 a été attribué à cette vulnérabilité. A vulnerability, which was classified as critical, has been found in SourceCodester Inventory Management System 1.0. This issue affects some unknown processing of the file app/action/edit_update.php. The manipulation of the argument user_id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-237557 was assigned to this vulnerability.
	2023-08-20 18:15:09	CVE-2023-36674 (lien direct)	Un problème a été découvert dans MediaWiki avant 1.35.11, 1.36.x via 1.38.x avant 1.38.7, 1.39.x avant 1.39.4 et 1.40.x avant 1.40.1.Il est possible de contourner la mauvaise liste d'images (aka badfile) en utilisant le paramètre du pouce (aka manualthumb) de la syntaxe du fichier. An issue was discovered in MediaWiki before 1.35.11, 1.36.x through 1.38.x before 1.38.7, 1.39.x before 1.39.4, and 1.40.x before 1.40.1. It is possible to bypass the Bad image list (aka badFile) by using the thumb parameter (aka Manualthumb) of the File syntax.
	2023-08-20 18:15:09	CVE-2022-24989 (lien direct)	Terramaster NAS à 4.2.30 permet aux attaquants WAN distants d'exécuter du code arbitraire en tant que racine via les paramètres RaidType et Diskstring pour l'instanciation des objets PHP à l'uri API.php? Mobile / CreateRaid.(Les métacharacteurs de la coquille peuvent être placés dans RaidType car Popen est utilisé sans aucune désinfection.) Les informations d'identification de l'exploitation CVE-2022-24990 peuvent être utilisées. TerraMaster NAS through 4.2.30 allows remote WAN attackers to execute arbitrary code as root via the raidtype and diskstring parameters for PHP Object Instantiation to the api.php?mobile/createRaid URI. (Shell metacharacters can be placed in raidtype because popen is used without any sanitization.) The credentials from CVE-2022-24990 exploitation can be used.
	2023-08-20 15:15:29	CVE-2023-4451 (lien direct)	Scripting inter-site (XSS) - reflété dans le référentiel GitHub Cockpit-HQ / Cockpit avant 2.6.4. Cross-site Scripting (XSS) - Reflected in GitHub repository cockpit-hq/cockpit prior to 2.6.4.
	2023-08-20 08:15:09	CVE-2023-37250 (lien direct)	Unity Parsec avant 8 a une condition de course TOTTOU qui permet aux attaquants locaux de dégénérer les privilèges du système si Parsec a été installé en mode "par utilisateur".L'application lance intentionnellement les DLL à partir d'un répertoire appartenant à l'utilisateur mais destiné à toujours effectuer une vérification d'intégrité de ces DLL. Unity Parsec before 8 has a TOCTOU race condition that permits local attackers to escalate privileges to SYSTEM if Parsec was installed in "Per User" mode. The application intentionally launches DLLs from a user-owned directory but intended to always perform integrity verification of those DLLs.
	2023-08-20 07:15:08	CVE-2023-37369 (lien direct)	Dans QT avant 5.15.15, 6.x avant 6.2.9 et 6.3.x à 6.5.x Avant 6.5.2, il peut y avoir un accident d'application dans QXMLStreamReader via une chaîne XML fabriquée qui déclenche une situation dans laquelle un préfixe estsupérieur à une longueur. In Qt before 5.15.15, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.2, there can be an application crash in QXmlStreamReader via a crafted XML string that triggers a situation in which a prefix is greater than a length.
	2023-08-20 01:15:10	CVE-2023-4435 (lien direct)	Validation d'entrée incorrecte dans le référentiel GitHub Hamza417 / INure avant Build88. Improper Input Validation in GitHub repository hamza417/inure prior to build88.
	2023-08-20 01:15:10	CVE-2023-4434 (lien direct)	Autorisation manquante dans le référentiel GitHub Hamza417 / INure avant Build88. Missing Authorization in GitHub repository hamza417/inure prior to build88.

Last update at: 2024-08-01 18:18:47
See our sources.

To see everything: Our RSS (filtrered)