SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-08-11 03:15:13	CVE-2022-36392 (lien direct)	Validation des entrées incorrectes dans certains firmwares pour Intel (R) AMT et Intel (R) Managabilité standard avant les versions 11.8.94, 11.12.94, 11.22.94, 12.0.93, 14.1.70, 15.0.45 et 16.1.27 dansIntel (R) CSME peut permettre à un utilisateur non authentifié d'activer le déni de service via l'accès au réseau. Improper input validation in some firmware for Intel(R) AMT and Intel(R) Standard Manageability before versions 11.8.94, 11.12.94, 11.22.94, 12.0.93, 14.1.70, 15.0.45, and 16.1.27 in Intel (R) CSME may allow an unauthenticated user to potentially enable denial of service via network access.
	2023-08-11 03:15:12	CVE-2022-34657 (lien direct)	Une mauvaise validation d'entrée dans le micrologiciel pour certains BIOS PCSD Intel (R) avant la version 02.01.0013 peut permettre à un utilisateur privilégié d'activer potentiellement la divulgation d'informations via l'accès local. Improper input validation in firmware for some Intel(R) PCSD BIOS before version 02.01.0013 may allow a privileged user to potentially enable information disclosure via local access.
	2023-08-11 03:15:12	CVE-2022-29470 (lien direct)	Un contrôle d'accès inapproprié dans le logiciel Intel DTT avant la version 8.7.10400.15482 peut permettre à un utilisateur authentifié de permettre potentiellement l'escalade des privilèges via l'accès local. Improper access control in the Intel DTT Software before version 8.7.10400.15482 may allow an authenticated user to potentially enable escalation of privilege via local access.
	2023-08-11 03:15:12	CVE-2022-29871 (lien direct)	Un contrôle d'accès incorrect dans l'installateur du logiciel Intel (R) CSME avant la version 2239.3.7.0 peut permettre à un utilisateur authentifié de permettre potentiellement l'escalade des privilèges via l'accès local. Improper access control in the Intel(R) CSME software installer before version 2239.3.7.0 may allow an authenticated user to potentially enable escalation of privilege via local access.
	2023-08-11 03:15:12	CVE-2022-36351 (lien direct)	Une mauvaise validation des entrées dans certains logiciels WiFi et WiFi sans fil Intel (R) PROSET / WIRESS (TM) peut permettre à un utilisateur non authentifié de permettre potentiellement à Denial of Service via un accès adjacent. Improper input validation in some Intel(R) PROSet/Wireless WiFi and Killer(TM) WiFi software may allow an unauthenticated user to potentially enable denial of service via adjacent access.
	2023-08-11 03:15:12	CVE-2022-29887 (lien direct)	Les scripts croisés (XSS) dans certains logiciels de commandant de gestion Intel (R) avant la version 2.3 peuvent permettre à un utilisateur non authentifié de permettre potentiellement l'escalade du privilège via l'accès au réseau. Cross-site Scripting (XSS) in some Intel(R) Manageability Commander software before version 2.3 may allow an unauthenticated user to potentially enable escalation of privilege via network access.
	2023-08-11 03:15:12	CVE-2022-27879 (lien direct)	Des restrictions de tampon inappropriées dans le micrologiciel du BIOS pour certains processeurs Intel (R) peuvent permettre à un utilisateur privilégié d'activer potentiellement la divulgation d'informations via l'accès local. Improper buffer restrictions in the BIOS firmware for some Intel(R) Processors may allow a privileged user to potentially enable information disclosure via local access.
	2023-08-11 03:15:11	CVE-2022-27635 (lien direct)	Un contrôle d'accès incorrect pour certains logiciels WiFi PROSET / Wiless WiFi et Killer (TM) Intel (R) peut permettre à un utilisateur privilégié de permettre potentiellement l'escalade des privilèges via un accès local. Improper access control for some Intel(R) PROSet/Wireless WiFi and Killer(TM) WiFi software may allow a privileged user to potentially enable escalation of privilege via local access.
	2023-08-11 03:15:10	CVE-2022-25864 (lien direct)	Le chemin de recherche non contrôlé dans certains logiciels Intel (R) ONEMKL avant la version 2022.0 peut permettre à un utilisateur authentifié d'activer potentiellement l'escalade des privilèges via l'accès local. Uncontrolled search path in some Intel(R) oneMKL software before version 2022.0 may allow an authenticated user to potentially enable escalation of privilege via local access.
	2023-08-11 01:15:09	CVE-2023-37513 (lien direct)	Lorsque l'application est mise à l'arrière-plan et que l'utilisateur va au commutateur de tâche d'iOS, l'instantané de l'application n'est pas floue, ce qui peut révéler des informations sensibles. When the app is put to the background and the user goes to the task switcher of iOS, the app snapshot is not blurred which may reveal sensitive information.
	2023-08-11 01:15:09	CVE-2023-37512 (lien direct)	Lorsque l'application est mise à l'arrière-plan et que l'utilisateur va au commutateur de tâche d'iOS, l'instantané de l'application n'est pas floue, ce qui peut révéler des informations sensibles. When the app is put to the background and the user goes to the task switcher of iOS, the app snapshot is not blurred which may reveal sensitive information.
	2023-08-11 01:15:09	CVE-2023-4304 (lien direct)	Erreurs de logique métier dans le référentiel Github Froxlor / Froxlor avant 2.0.22,2.1.0. Business Logic Errors in GitHub repository froxlor/froxlor prior to 2.0.22,2.1.0.
	2023-08-11 01:15:08	CVE-2023-37511 (lien direct)	Si certains paramètres de sécurité du transport d'applications (ATS) sont définis d'une certaine manière, le chargement peu sûr du contenu Web peut être réalisé. If certain App Transport Security (ATS) settings are set in a certain manner, insecure loading of web content can be achieved.
	2023-08-11 00:15:09	CVE-2023-35179 (lien direct)	Une vulnérabilité a été identifiée dans Serv-U 15.4 qui, si elle est exploitée, permet à un acteur de contourner l'authentification multi-facteurs / deux facteurs.L'acteur doit avoir un accès au niveau de l'administrateur à Serv-U pour effectuer cette action. & Acirc; & nbsp; A vulnerability has been identified within Serv-U 15.4 that, if exploited, allows an actor to bypass multi-factor/two-factor authentication. The actor must have administrator-level access to Serv-U to perform this action.Â	Vulnerability
	2023-08-10 23:15:09	CVE-2023-40235 (lien direct)	Une divulgation de hachage NTLM a été découverte dans Archimate Archi avant 5.1.0.Lors de l'analyse de la valeur XMLN d'un fichier de projet archimer, si l'espace de noms ne correspond pas à l'URL de l'archime attendu, l'analyseur accédera à la ressource fournie.Si la ressource fournie est un chemin UNC pointant vers un serveur de partage qui n'accepte pas de compte invité, l'hôte essaiera de s'authentifier sur le partage en utilisant la session actuelle de l'utilisateur \\.Remarque: Ce problème se produit car Archi utilise une configuration dangereuse du cadre de modélisation Eclipse. An NTLM Hash Disclosure was discovered in ArchiMate Archi before 5.1.0. When parsing the XMLNS value of an ArchiMate project file, if the namespace does not match the expected ArchiMate URL, the parser will access the provided resource. If the provided resource is a UNC path pointing to a share server that does not accept a guest account, the host will try to authenticate on the share by using the current user\'s session. NOTE: this issue occurs because Archi uses an unsafe configuration of the Eclipse Modeling Framework.
	2023-08-10 22:15:09	CVE-2023-4275 (lien direct)	Rejeter Il n'est pas valide. REJECT It is invalid.
	2023-08-10 21:15:10	CVE-2023-38333 (lien direct)	Le gestionnaire d'applications Zoho ManageEngine jusqu'à 16530 permet de refléter XSS lorsqu'il est connecté. Zoho ManageEngine Applications Manager through 16530 allows reflected XSS while logged in.
	2023-08-10 21:15:10	CVE-2023-40225 (lien direct)	Haproxy via 2.0.32, 2.1.x et 2.2.x via 2.2.30, 2.3.x et 2.4.x via 2.4.23, 2.5.x et 2.6.x avant 2.6.15, 2.7.x avant 2.7.10,et 2.8.x avant 2.8.2 En-têtes de longueur de contenu vides, violant la section 8.6 RFC 9110.Dans des cas inhabituels, un serveur HTTP / 1 derrière Haproxy peut interpréter la charge utile comme une demande supplémentaire. HAProxy through 2.0.32, 2.1.x and 2.2.x through 2.2.30, 2.3.x and 2.4.x through 2.4.23, 2.5.x and 2.6.x before 2.6.15, 2.7.x before 2.7.10, and 2.8.x before 2.8.2 forwards empty Content-Length headers, violating RFC 9110 section 8.6. In uncommon cases, an HTTP/1 server behind HAProxy may interpret the payload as an extra request.
	2023-08-10 20:15:11	CVE-2023-40224 (lien direct)	MISP 2.4174 permet XSS dans APP / View / Events / Index.CTP. MISP 2.4174 allows XSS in app/View/Events/index.ctp.
	2023-08-10 20:15:10	CVE-2023-32563 (lien direct)	Un attaquant non authentifié pourrait réaliser l'exécution de code via un serveur RemoteControl. An unauthenticated attacker could achieve the code execution through a RemoteControl server.
	2023-08-10 20:15:10	CVE-2023-32565 (lien direct)	Un attaquant peut envoyer une demande spécialement conçue qui pourrait entraîner une fuite de données sensibles ou potentiellement une attaque DOS basée sur les ressources.Correction de la version 6.4.1. An attacker can send a specially crafted request which could lead to leakage of sensitive data or potentially a resource-based DoS attack. Fixed in version 6.4.1.
	2023-08-10 20:15:10	CVE-2023-32564 (lien direct)	Un téléchargement sans restriction de fichiers avec une vulnérabilité de type dangereux existe dans les versions Avalanche 6.4.1 et ci-dessous qui pourraient permettre à un attaquant d'atteindre une exécution de code. An unrestricted upload of file with dangerous type vulnerability exists in Avalanche versions 6.4.1 and below that could allow an attacker to achieve a remove code execution.	Vulnerability
	2023-08-10 20:15:10	CVE-2023-37625 (lien direct)	Une vulnérabilité de script inter-site stockée (XSS) dans Netbox V3.4.7 permet aux attaquants d'exécuter des scripts Web arbitraires ou du HTML via une charge utile fabriquée injectée dans les modèles de liaison personnalisés. A stored cross-site scripting (XSS) vulnerability in Netbox v3.4.7 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Custom Link templates.	Vulnerability
	2023-08-10 20:15:10	CVE-2023-40014 (lien direct)	Openzeppelin Contracts est une bibliothèque pour le développement de contrats intelligents sécurisés.À partir de la version 4.0.0 et avant la version 4.9.3, des contrats utilisant `ERC2771Context` avec un transfert de confiance personnalisé peuvent voir` `_MSGSENSER` RETOURS ADRESS (0)` Dans les appels qui proviennent du transfert avec CallData plus court que 20 octets.Cette combinaison de circonstances ne semble pas être courante, en particulier, ce n'est pas le cas pour «minimalforwarcher» à partir des contrats d'Openzeppelin, ni tout transfètement de la remise de l'équipe, étant donné que l'adresse du signataire est annexée à tous les appels qui proviennent de ces élémentstransitaires.Le problème a été corrigé dans la V4.9.3. OpenZeppelin Contracts is a library for secure smart contract development. Starting in version 4.0.0 and prior to version 4.9.3, contracts using `ERC2771Context` along with a custom trusted forwarder may see `_msgSender` return `address(0)` in calls that originate from the forwarder with calldata shorter than 20 bytes. This combination of circumstances does not appear to be common, in particular it is not the case for `MinimalForwarder` from OpenZeppelin Contracts, or any deployed forwarder the team is aware of, given that the signer address is appended to all calls that originate from these forwarders. The problem has been patched in v4.9.3.
	2023-08-10 20:15:10	CVE-2023-39805 (lien direct)	ICMS V7.0.16 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre où Admincp.php. iCMS v7.0.16 was discovered to contain a SQL injection vulnerability via the where parameter at admincp.php.	Vulnerability
	2023-08-10 20:15:10	CVE-2023-39806 (lien direct)	ICMS V7.0.16 a été découvert qu'il contenait une vulnérabilité d'injection SQL via la fonction Bakupdata. iCMS v7.0.16 was discovered to contain a SQL injection vulnerability via the bakupdata function.	Vulnerability
	2023-08-10 20:15:10	CVE-2023-32561 (lien direct)	Un artefact précédemment généré par un administrateur pourrait être accessible par un attaquant.Le contenu de cet artefact pourrait conduire à un contournement d'authentification.Correction de la version 6.4.1. A previously generated artifact by an administrator could be accessed by an attacker. The contents of this artifact could lead to authentication bypass. Fixed in version 6.4.1.
	2023-08-10 20:15:10	CVE-2023-32560 (lien direct)	Un attaquant peut envoyer un message spécialement conçu au Wavelink Avalanche Manager, ce qui pourrait entraîner une perturbation du service ou une exécution de code arbitraire. Grâce à un chercheur chez Tenable pour avoir trouvé et rapporté. Correction de la version 6.4.1. An attacker can send a specially crafted message to the Wavelink Avalanche Manager, which could result in service disruption or arbitrary code execution. Thanks to a Researcher at Tenable for finding and reporting. Fixed in version 6.4.1.
	2023-08-10 20:15:10	CVE-2023-32562 (lien direct)	Un téléchargement sans restriction de fichiers avec une vulnérabilité de type dangereux existe dans les versions Avalanche 6.3.x et ci-dessous qui pourraient permettre à un attaquant d'atteindre une exécution de code.Correction de la version 6.4.1. An unrestricted upload of file with dangerous type vulnerability exists in Avalanche versions 6.3.x and below that could allow an attacker to achieve a remove code execution. Fixed in version 6.4.1.	Vulnerability
	2023-08-10 20:15:09	CVE-2023-28129 (lien direct)	Desktop & amp;Server Management (DSM) peut avoir une exécution possible de commandes arbitraires. Desktop & Server Management (DSM) may have a possible execution of arbitrary commands.
	2023-08-10 19:15:09	CVE-2023-38034 (lien direct)	Une vulnérabilité d'injection de commande dans la fonction client DHCP de tous les points d'accès et commutateurs UNIFI, à l'exclusion du Switch Flex Mini, pourrait permettre une exécution de code distante (RCE). Produits affectés: Tous les points d'accès UNIFI (version 6.5.53 et plus tôt) Tous les commutateurs unifi (version 6.5.32 et plus tôt) -Usw flex mini exclu. Atténuation: Mettez à jour les points d'accès UNIFI à la version 6.5.62 ou version ultérieure. Mettre à jour UNIFI passe à la version 6.5.59 ou version ultérieure. A command injection vulnerability in the DHCP Client function of all UniFi Access Points and Switches, excluding the Switch Flex Mini, could allow a Remote Code Execution (RCE). Affected Products: All UniFi Access Points (Version 6.5.53 and earlier) All UniFi Switches (Version 6.5.32 and earlier) -USW Flex Mini excluded. Mitigation: Update UniFi Access Points to Version 6.5.62 or later. Update UniFi Switches to Version 6.5.59 or later.	Vulnerability
	2023-08-10 19:15:09	CVE-2023-35085 (lien direct)	Une vulnérabilité de débordement entier dans tous les points d'accès et commutateurs UNIFI, à l'exclusion du Switch Flex Mini, avec la surveillance SNMP et les paramètres par défaut activés pourraient permettre une exécution de code distante (RCE). Produits affectés: Tous les points d'accès UNIFI (version 6.5.50 et plus tôt) Tous les commutateurs unifi (version 6.5.32 et plus tôt) -Usw flex mini exclu. Atténuation: Mettez à jour les points d'accès UNIFI à la version 6.5.62 ou version ultérieure. Mettez à jour les commutateurs UNIFI vers la version 6.5.59 ou version ultérieure. An integer overflow vulnerability in all UniFi Access Points and Switches, excluding the Switch Flex Mini, with SNMP Monitoring and default settings enabled could allow a Remote Code Execution (RCE). Affected Products: All UniFi Access Points (Version 6.5.50 and earlier) All UniFi Switches (Version 6.5.32 and earlier) -USW Flex Mini excluded. Mitigation: Update UniFi Access Points to Version 6.5.62 or later. Update the UniFi Switches to Version 6.5.59 or later.	Vulnerability
	2023-08-10 19:15:09	CVE-2023-32567 (lien direct)	Ivanti Avalanche Decodetomap XML Traitement des entités externes.Correction de la version 6.4.1. Ivanti Avalanche decodeToMap XML External Entity Processing. Fixed in version 6.4.1.
	2023-08-10 19:15:09	CVE-2023-32566 (lien direct)	Un attaquant peut envoyer une demande spécialement conçue qui pourrait entraîner une fuite de données sensibles ou potentiellement une attaque DOS basée sur les ressources.Correction de la version 6.4.1. An attacker can send a specially crafted request which could lead to leakage of sensitive data or potentially a resource-based DoS attack. Fixed in version 6.4.1.
	2023-08-10 19:15:09	CVE-2023-23342 (lien direct)	Si certains fichiers locaux sont manipulés d'une certaine manière, la validation pour utiliser les clés cryptographiques peut être contournée. & Acirc; & nbsp; If certain local files are manipulated in a certain manner, the validation to use the cryptographic keys can be circumvented.Â
	2023-08-10 18:15:11	CVE-2023-39965 (lien direct)	1Panel est un panneau Open Source Linux Server et la gestion de la maintenance.Dans la version 1.4.3, les attaquants authentifiés peuvent télécharger des fichiers arbitraires via l'interface API.Ce code a un accès non autorisé.Les attaquants peuvent télécharger librement le contenu du fichier sur le système cible.Cela peut entraîner une grande quantité de fuite d'informations.La version 1.5.0 a un correctif pour ce problème. 1Panel is an open source Linux server operation and maintenance management panel. In version 1.4.3, authenticated attackers can download arbitrary files through the API interface. This code has unauthorized access. Attackers can freely download the file content on the target system. This may cause a large amount of information leakage. Version 1.5.0 has a patch for this issue.
	2023-08-10 18:15:11	CVE-2023-39966 (lien direct)	1Panel est un panneau Open Source Linux Server et la gestion de la maintenance.Dans la version 1.4.3, une vulnérabilité d'écriture de fichiers arbitraires pourrait conduire à un contrôle direct du serveur.Dans le fichier `API / V1 / File.go`, il existe une fonction appelée` SAVEContentThat, il reçoit les données JSON envoyées par les utilisateurs sous la forme d'une demande de poste.Et le manque de filtrage des paramètres permet des opérations d'arbitraire d'écriture de fichiers.La version 1.5.0 contient un correctif pour ce problème. 1Panel is an open source Linux server operation and maintenance management panel. In version 1.4.3, an arbitrary file write vulnerability could lead to direct control of the server. In the `api/v1/file.go` file, there is a function called `SaveContentthat,It `recieves JSON data sent by users in the form of a POST request. And the lack of parameter filtering allows for arbitrary file write operations. Version 1.5.0 contains a patch for this issue.	Vulnerability
	2023-08-10 18:15:11	CVE-2023-39964 (lien direct)	1Panel est un panneau Open Source Linux Server et la gestion de la maintenance.Dans la version 1.4.3, les lectures de fichiers arbitraires permettent à un attaquant de lire des fichiers de configuration importants arbitraires sur le serveur.Dans le fichier `api / v1 / file.go`, il existe une fonction appelée` LoadFromfile`, qui lit directement le fichier en obtenant le paramètre de chemin demandé `paramètre]`.Les paramètres de demande ne sont pas filtrés, résultant en une vulnérabilité de lecture de fichiers arbitraires d'arrière-plan.La version 1.5.0 a un correctif pour ce problème. 1Panel is an open source Linux server operation and maintenance management panel. In version 1.4.3, arbitrary file reads allow an attacker to read arbitrary important configuration files on the server. In the `api/v1/file.go` file, there is a function called `LoadFromFile`, which directly reads the file by obtaining the requested path `parameter[path]`. The request parameters are not filtered, resulting in a background arbitrary file reading vulnerability. Version 1.5.0 has a patch for this issue.
	2023-08-10 18:15:10	CVE-2023-39962 (lien direct)	NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 19.0.0 et avant les versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, un utilisateur malveillantpourrait supprimer tout stockage externe personnel ou global, ce qui les rend également inaccessibles pour tout le monde.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce problème.En tant que solution de contournement, désactivez l'application Files_external.Cela rend également le stockage externe inaccessible mais conserve les configurations jusqu'à ce qu'une version corrigée soit déployée. Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 19.0.0 and prior to versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, a malicious user could delete any personal or global external storage, making them inaccessible for everyone else as well. Nextcloud server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. As a workaround, disable app files_external. This also makes the external storage inaccessible but retains the configurations until a patched version has been deployed.	Cloud
	2023-08-10 18:15:10	CVE-2023-39959 (lien direct)	NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 25.0.0 et avant les versions 25.0.9, 26.0.4 et 27.0.1, les utilisateurs non authentifiés pourraient envoyer une demande DAV qui révèle si un calendrier ou un carnet d'adresses avec l'identifiant donné existe pour la victime.Les versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce numéro.Aucune solution de contournement connue n'est disponible. Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 25.0.0 and prior to versions 25.0.9, 26.0.4, and 27.0.1, unauthenticated users could send a DAV request which reveals whether a calendar or an address book with the given identifier exists for the victim. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available.	Cloud
	2023-08-10 18:15:10	CVE-2023-39961 (lien direct)	NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 24.0.4 et avant les versions 25.0.9, 26.0.4 et 27.0.1, lorsqu'un dossier avec des images ou une image a été partagé sans autorisation de téléchargement, l'utilisateur pourrait ajouter l'image en ligne dans un fichier texte et téléchargeril.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce numéro.Aucune solution de contournement connue n'est disponible. Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 24.0.4 and prior to versions 25.0.9, 26.0.4, and 27.0.1, when a folder with images or an image was shared without download permissions, the user could add the image inline into a text file and download it. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available.	Cloud
	2023-08-10 18:15:10	CVE-2023-39963 (lien direct)	NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 20.0.0 et avant les versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, une confirmation de mot de passe manquante a permis un attaquant un attaquant, après avoir réussi à voler une session à un utilisateur connecté, pour créer des mots de passe d'applications pour la victime.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 Contiennent un correctif pour ce problème.Aucune solution de contournement connue n'est disponible. Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 20.0.0 and prior to versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, a missing password confirmation allowed an attacker, after successfully stealing a session from a logged in user, to create app passwords for the victim. Nextcloud server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available.	Cloud
	2023-08-10 18:15:09	CVE-2023-39958 (lien direct)	NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 22.0.0 et avant les versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, la protection manquante permet à un attaquant de forcer brute les secrets clients des clients configurés OAuth2.Les versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce problème.Aucune solution de contournement connue n'est disponible. Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 22.0.0 and prior to versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, missing protection allows an attacker to brute force the client secrets of configured OAuth2 clients. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available.	Cloud
	2023-08-10 17:15:12	CVE-2023-4128 (lien direct)	Une faille d'utilisation après libre a été trouvée dans net / sched / cls_fw.c dans les classificateurs (CLS_FW, CLS_U32 et CLS_ROUTE) dans le noyau Linux.Ce défaut permet à un attaquant local d'effectuer une escalade de privilège locale en raison d'une manipulation incorrecte du filtre existant, conduisant à un problème de fuite d'information du noyau. A use-after-free flaw was found in net/sched/cls_fw.c in classifiers (cls_fw, cls_u32, and cls_route) in the Linux Kernel. This flaw allows a local attacker to perform a local privilege escalation due to incorrect handling of the existing filter, leading to a kernel information leak issue.
	2023-08-10 17:15:11	CVE-2023-36313 (lien direct)	PHPJABBERS Document Creator v1.0 est vulnérable au script de site croisé (XSS) via tous les paramètres de publication de "Demandes d'exportation" en dehors de "request_feed". PHPJabbers Document Creator v1.0 is vulnerable to Cross Site Scripting (XSS) via all post parameters of "Export Requests" aside from "request_feed".
	2023-08-10 17:15:11	CVE-2023-36315 (lien direct)	Il existe une vulnérabilité de script de site croisé (XSS) dans le paramètre "Action" d'Index.php dans le widget de rappel Phpjabbers v1.0. There is a Cross Site Scripting (XSS) vulnerability in the "action" parameter of index.php in PHPJabbers Callback Widget v1.0.	Vulnerability
	2023-08-10 17:15:11	CVE-2023-36312 (lien direct)	Il y a une vulnérabilité de script de sites croisées (XSS) dans le paramètre de valeur-énum-o_bf_include_timezone de index.php dans le widget de rappel phpjabbers v1.0. There is a Cross Site Scripting (XSS) vulnerability in the value-enum-o_bf_include_timezone parameter of index.php in PHPJabbers Callback Widget v1.0.	Vulnerability
	2023-08-10 17:15:11	CVE-2023-36314 (lien direct)	Il y a une vulnérabilité de script de site croisé (XSS) dans les paramètres de valeur-text-o_sms_email_request_message de index.php dans le widget de rappel phpjabbers v1.0. There is a Cross Site Scripting (XSS) vulnerability in the value-text-o_sms_email_request_message parameters of index.php in PHPJabbers Callback Widget v1.0.	Vulnerability
	2023-08-10 17:15:10	CVE-2023-36309 (lien direct)	Il existe une vulnérabilité de script de site croisé (XSS) dans le paramètre "Action" d'Index.php dans PHPJabbers Document Creator v1.0. There is a Cross Site Scripting (XSS) vulnerability in the "action" parameter of index.php in PHPJabbers Document Creator v1.0.	Vulnerability
	2023-08-10 17:15:10	CVE-2023-36310 (lien direct)	Il existe une vulnérabilité de script de site croisé (XSS) dans le paramètre "colonne" d'Index.php dans PHPJabbers Document Creator v1.0. There is a Cross Site Scripting (XSS) vulnerability in the "column" parameter of index.php in PHPJabbers Document Creator v1.0.	Vulnerability

Last update at: 2024-08-01 23:18:51
See our sources.

To see everything: Our RSS (filtrered)