What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-08-15 18:15:11 | CVE-2023-4352 (lien direct) | La confusion de type en V8 dans Google Chrome avant 116.0.5845.96 a permis à un attaquant distant d'exploiter potentiellement la corruption de tas via une page HTML fabriquée.(Gravité de sécurité du chrome: élevée)
Type confusion in V8 in Google Chrome prior to 116.0.5845.96 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) |
|||
|
2023-08-15 18:15:11 | CVE-2023-4351 (lien direct) | Utilisez après gratuitement dans le réseau dans Google Chrome avant 116.0.5845.96 a autorisé un attaquant distant qui a provoqué un arrêt de navigateur pour potentiellement exploiter la corruption de tas via une page HTML fabriquée.(Gravité de sécurité du chrome: élevée)
Use after free in Network in Google Chrome prior to 116.0.5845.96 allowed a remote attacker who has elicited a browser shutdown to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) |
|||
|
2023-08-15 18:15:11 | CVE-2023-4350 (lien direct) | Une implémentation inappropriée en plein écran dans Google Chrome sur Android avant 116.0.5845.96 a permis à un attaquant distant de l'emballage potentiellement du contenu de l'omnibox (barre URL) via une page HTML fabriquée.(Gravité de sécurité du chrome: élevée)
Inappropriate implementation in Fullscreen in Google Chrome on Android prior to 116.0.5845.96 allowed a remote attacker to potentially spoof the contents of the Omnibox (URL bar) via a crafted HTML page. (Chromium security severity: High) |
|||
|
2023-08-15 18:15:10 | CVE-2023-40027 (lien direct) | Keystone est un CMS sans tête open source pour Node.js & acirc; & euro; & rdquo;Construit avec GraphQL et réagir.Lorsque `ui.isaccessallowed` est défini sous forme de« Undefined », la requête GraphQL` `Adminmeta» est accessible au public (aucune session requise).Ceci est différent du comportement du middleware Admingu par défaut, qui ne sera par défaut accessible au public (aucune session requise) si une stratégie de «session» n'est pas définie.Cette vulnérabilité n'affecte pas les développeurs utilisant le package `@ keystone-6 / auth`, ni tout utilisateur qui a écrit leur propre` ui.isaccessallowed '(c'est-à-dire que `Isaccessallowed` n'est pas« indéfini »).Cette vulnérabilité affecte les utilisateurs qui pensaient que leur stratégie de «session» appliquera par défaut que «Administrata» est inaccessible par le public conformément à cette stratégie;semblable au comportement du middleware Admingu.Cette vulnérabilité a été corrigée dans la version `@ Keystone-6 / Core`` 5.5.1`.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau peuvent choisir d'écrire leurs propres fonctionnalités «IsAccessallowed» pour contourner cette vulnérabilité.
Keystone is an open source headless CMS for Node.js — built with GraphQL and React. When `ui.isAccessAllowed` is set as `undefined`, the `adminMeta` GraphQL query is publicly accessible (no session required). This is different to the behaviour of the default AdminUI middleware, which by default will only be publicly accessible (no session required) if a `session` strategy is not defined. This vulnerability does not affect developers using the `@keystone-6/auth` package, or any users that have written their own `ui.isAccessAllowed` (that is to say, `isAccessAllowed` is not `undefined`). This vulnerability does affect users who believed that their `session` strategy will, by default, enforce that `adminMeta` is inaccessible by the public in accordance with that strategy; akin to the behaviour of the AdminUI middleware. This vulnerability has been patched in `@keystone-6/core` version `5.5.1`. Users are advised to upgrade. Users unable to upgrade may opt to write their own `isAccessAllowed` functionality to work-around this vulnerability. |
Vulnerability | ||
|
2023-08-15 18:15:10 | CVE-2023-2312 (lien direct) | Utilisez après gratuitement dans Google Chrome sur Android avant 116.0.5845.96 permis à un attaquant distant qui avait compromis le processus de rendu pour exploiter potentiellement la corruption de tas via une page HTML conçue.(Gravité de sécurité du chrome: élevée)
Use after free in Offline in Google Chrome on Android prior to 116.0.5845.96 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) |
|||
|
2023-08-15 18:15:10 | CVE-2023-4349 (lien direct) | Utilisez après gratuitement dans les connecteurs de confiance de périphériques dans Google Chrome avant 116.0.5845.96 a permis à un attaquant distant d'exploiter potentiellement la corruption de tas via une page HTML fabriquée.(Gravité de sécurité du chrome: élevée)
Use after free in Device Trust Connectors in Google Chrome prior to 116.0.5845.96 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) |
|||
|
2023-08-15 18:15:10 | CVE-2023-40028 (lien direct) | Ghost est un système de gestion de contenu open source.Les versions antérieures à 5.59.1 sont soumises à une vulnérabilité qui permet aux utilisateurs authentifiés de télécharger des fichiers qui sont des liens symboliques.Cela peut être exploité pour effectuer une lecture de fichiers arbitraires de n'importe quel fichier du système d'exploitation hôte.Les administrateurs de sites peuvent vérifier l'exploitation de ce numéro en recherchant des liens symboliques inconnus dans le dossier de contenu / `de Ghost \\.La version 5.59.1 contient un correctif pour ce problème.Il est conseillé à tous les utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Ghost is an open source content management system. Versions prior to 5.59.1 are subject to a vulnerability which allows authenticated users to upload files that are symlinks. This can be exploited to perform an arbitrary file read of any file on the host operating system. Site administrators can check for exploitation of this issue by looking for unknown symlinks within Ghost\'s `content/` folder. Version 5.59.1 contains a fix for this issue. All users are advised to upgrade. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-08-15 18:15:10 | CVE-2023-4345 (lien direct) | L'interface Web de contrôleur RAID Broadcom est vulnérable de contournement de contrôle côté client entraîne un accès aux données non autorisées pour un faible utilisateur privilégié
Broadcom RAID Controller web interface is vulnerable client-side control bypass leads to unauthorized data access for low privileged user |
|||
|
2023-08-15 17:15:13 | CVE-2023-39662 (lien direct) | Un problème dans LLAMA_INDEX V.0.7.13 et avant permet à un attaquant distant d'exécuter du code arbitraire via le paramètre `EXEC` dans la fonction PandasQueryEngine.
An issue in llama_index v.0.7.13 and before allows a remote attacker to execute arbitrary code via the `exec` parameter in PandasQueryEngine function. |
|||
|
2023-08-15 17:15:13 | CVE-2023-39661 (lien direct) | Un problème dans Pandas-AI V.0.9.1 et avant permet à un attaquant distant d'exécuter du code arbitraire via la fonction _is_jailbreak.
An issue in pandas-ai v.0.9.1 and before allows a remote attacker to execute arbitrary code via the _is_jailbreak function. |
|||
|
2023-08-15 17:15:12 | CVE-2023-39659 (lien direct) | Un problème dans Langchain Langchain-AI V.0.0.232 et avant permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué au composant PythonastrePltool._Run.
An issue in langchain langchain-ai v.0.0.232 and before allows a remote attacker to execute arbitrary code via a crafted script to the PythonAstREPLTool._run component. |
|||
|
2023-08-15 17:15:12 | CVE-2023-38916 (lien direct) | La vulnérabilité de l'injection SQL dans EvotingSystem-Php V.1.0 permet à un attaquant distant d'exécuter du code arbitraire et d'obtenir des informations sensibles via les champs d'entrée utilisateur.
SQL Injection vulnerability in eVotingSystem-PHP v.1.0 allows a remote attacker to execute arbitrary code and obtain sensitive information via the user input fields. |
Vulnerability | ||
|
2023-08-15 17:15:12 | CVE-2023-38896 (lien direct) | Un problème dans Harrison Chase Langchain V.0.0.194 et avant permet à un attaquant distant d'exécuter du code arbitraire via les fonctions FROM_MATH_PROMPT et FRATHORED_OBJECT_PROMPT.
An issue in Harrison Chase langchain v.0.0.194 and before allows a remote attacker to execute arbitrary code via the from_math_prompt and from_colored_object_prompt functions. |
|||
|
2023-08-15 17:15:12 | CVE-2023-38898 (lien direct) | Un problème dans Python Cpython V.3.7 permet à un attaquant d'obtenir des informations sensibles via le composant _asyncio._swap_current_task.
An issue in Python cpython v.3.7 allows an attacker to obtain sensitive information via the _asyncio._swap_current_task component. |
|||
|
2023-08-15 17:15:12 | CVE-2023-39438 (lien direct) | Une vérification d'autorisation manquante permet à un utilisateur arbitraire authentifié d'effectuer certaines opérations via l'API d'assistance CLA en exécutant des étapes supplémentaires spécifiques.Cela permet à un utilisateur arbitraire authentifié de lire les informations CLA, y compris les informations des personnes qui les ont signées ainsi que les champs personnalisés que le demandeur CLA avait configurés.De plus, un utilisateur authentifié arbitraire peut mettre à jour ou supprimer la configuration de la CLA pour les référentiels ou les organisations à l'aide de CLA-assistance.Les jetons d'accès stockés pour GitHub ne sont pas affectés, car ceux-ci sont expurgés des réponses API.
A missing authorization check allows an arbitrary authenticated user to perform certain operations through the API of CLA-assistant by executing specific additional steps. This allows an arbitrary authenticated user to read CLA information including information of the persons who signed them as well as custom fields the CLA requester had configured. In addition, an arbitrary authenticated user can update or delete the CLA-configuration for repositories or organizations using CLA-assistant. The stored access tokens for GitHub are not affected, as these are redacted from the API-responses. |
|||
|
2023-08-15 17:15:12 | CVE-2023-38915 (lien direct) | La vulnérabilité de téléchargement de fichiers dans Wolf-Leo EasyAdmin8 V.1.0 permet à un attaquant distant d'exécuter du code arbtiraire via la fonction de type de téléchargement.
File Upload vulnerability in Wolf-leo EasyAdmin8 v.1.0 allows a remote attacker to execute arbtirary code via the upload type function. |
Vulnerability | ||
|
2023-08-15 17:15:11 | CVE-2023-38889 (lien direct) | Un problème dans ALLUXIO V.2.9.3 et avant permet à un attaquant d'exécuter du code arbitraire via un script fabriqué au paramètre de nom d'utilisateur de lluxio.util.commonutils.getUnixGroups (java.lang.string).
An issue in Alluxio v.2.9.3 and before allows an attacker to execute arbitrary code via a crafted script to the username parameter of lluxio.util.CommonUtils.getUnixGroups(java.lang.String). |
|||
|
2023-08-15 17:15:11 | CVE-2023-38860 (lien direct) | Un problème dans Langchain V.0.0.231 permet à un attaquant distant d'exécuter du code arbitraire via le paramètre de l'invite.
An issue in LangChain v.0.0.231 allows a remote attacker to execute arbitrary code via the prompt parameter. |
|||
|
2023-08-15 17:15:11 | CVE-2023-38858 (lien direct) | Vulnérabilité de débordement de tampon Infaad2 V.2.10.1 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via la fonction MP4Info dans MP4Read.c: 1039.
Buffer Overflow vulnerability infaad2 v.2.10.1 allows a remote attacker to execute arbitrary code and cause a denial of service via the mp4info function in mp4read.c:1039. |
Vulnerability | ||
|
2023-08-15 17:15:11 | CVE-2023-38857 (lien direct) | La vulnérabilité de débordement de tampon Infaad2 V.2.10.1 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via la fonction STCoin dans mp4read.c.
Buffer Overflow vulnerability infaad2 v.2.10.1 allows a remote attacker to execute arbitrary code and cause a denial of service via the stcoin function in mp4read.c. |
Vulnerability | ||
|
2023-08-15 17:15:11 | CVE-2023-38856 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction get_string dans xlstool.c: 411.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the get_string function in xlstool.c:411. |
Vulnerability | ||
|
2023-08-15 17:15:11 | CVE-2023-38855 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction get_string dans xlstool.c: 395.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the get_string function in xlstool.c:395. |
Vulnerability | ||
|
2023-08-15 17:15:11 | CVE-2023-38854 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction transcode_latin1_to_utf8 dans xlstool.c: 296.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the transcode_latin1_to_utf8 function in xlstool.c:296. |
Vulnerability | ||
|
2023-08-15 17:15:10 | CVE-2023-38851 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction xls_parseworkBook dans xls.c: 1018.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the xls_parseWorkBook function in xls.c:1018. |
Vulnerability | ||
|
2023-08-15 17:15:10 | CVE-2023-38852 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction UNICODE_DECODE_WCSTOMBS dans xlstool.c: 266.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the unicode_decode_wcstombs function in xlstool.c:266. |
Vulnerability | ||
|
2023-08-15 17:15:10 | CVE-2023-38853 (lien direct) | La vulnérabilité de débordement de tampon dans libxlsv.1.6.2 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via un fichier XLS fabriqué à la fonction xls_parseworkBook dans xls.c: 1015.
Buffer Overflow vulnerability in libxlsv.1.6.2 allows a remote attacker to execute arbitrary code and cause a denial of service via a crafted XLS file to the xls_parseWorkBook function in xls.c:1015. |
Vulnerability | ||
|
2023-08-15 17:15:10 | CVE-2023-38840 (lien direct) | Un problème dans Bitwarden Bitwarden Desktop V.2023.5.1 permet à un attaquant local d'obtenir des informations sensibles via le bitwarden.exe
An issue in Bitwarden Bitwarden Desktop v.2023.5.1 allows a local attacker to obtain sensitive information via the the bitwarden.exe |
|||
|
2023-08-15 17:15:10 | CVE-2023-38850 (lien direct) | La vulnérabilité de débordement de tampon dans MichaelrSweet Codedoc V.3.7 permet à un attaquant de provoquer un déni de service via le Codedoc.C: 1742 Comppnent.
Buffer Overflow vulnerability in Michaelrsweet codedoc v.3.7 allows an attacker to cause a denial of service via the codedoc.c:1742 comppnent. |
Vulnerability | ||
|
2023-08-15 16:15:11 | CVE-2023-32006 (lien direct) | L'utilisation de `module.constructor.creareQUIRE ()` peut contourner le mécanisme de politique et nécessiter des modules en dehors de la définition de politique.json pour un module donné.
Cette vulnérabilité affecte tous les utilisateurs utilisant le mécanisme de politique expérimentale dans toutes les lignes de libération active: 16.x, 18.x et, 20.x.
Veuillez noter qu'au moment où ce CVE a été émis, la politique est une caractéristique expérimentale de Node.js.
The use of `module.constructor.createRequire()` can bypass the policy mechanism and require modules outside of the policy.json definition for a given module. This vulnerability affects all users using the experimental policy mechanism in all active release lines: 16.x, 18.x, and, 20.x. Please note that at the time this CVE was issued, the policy is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-08-15 16:15:11 | CVE-2023-35082 (lien direct) | Une vulnérabilité de contournement d'authentification dans Ivanti EPMM 11.10 et plus, permet aux utilisateurs non autorisés d'accéder à des fonctionnalités ou des ressources restreintes de l'application sans authentification appropriée.Cette vulnérabilité est unique à CVE-2023-35078 annoncée plus tôt.
An authentication bypass vulnerability in Ivanti EPMM 11.10 and older, allows unauthorized users to access restricted functionality or resources of the application without proper authentication. This vulnerability is unique to CVE-2023-35078 announced earlier. |
Vulnerability | ||
|
2023-08-15 16:15:11 | CVE-2023-32004 (lien direct) | Une vulnérabilité a été découverte dans Node.js version 20, en particulier dans le modèle d'autorisation expérimentale.Ce défaut est lié à une mauvaise gestion des tampons dans les API du système de fichiers provoquant un chemin de traverse pour contourner lors de la vérification des autorisations de fichier.
Cette vulnérabilité affecte tous les utilisateurs à l'aide du modèle d'autorisation expérimental dans Node.js 20.
Veuillez noter qu'au moment où ce CVE a été émis, le modèle d'autorisation est une caractéristique expérimentale de Node.js.
A vulnerability has been discovered in Node.js version 20, specifically within the experimental permission model. This flaw relates to improper handling of Buffers in file system APIs causing a traversal path to bypass when verifying file permissions. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-08-15 16:15:10 | CVE-2023-32003 (lien direct) | `fs.mkdtemp ()` et `fs.mkdtempsync ()` peuvent être utilisés pour contourner la vérification du modèle d'autorisation à l'aide d'une attaque de traversée de chemin.Ce défaut résulte d'un contrôle manquant dans l'API Fs.mkdtemp () et l'impact est un acteur malveillant pourrait créer un répertoire arbitraire.
Cette vulnérabilité affecte tous les utilisateurs à l'aide du modèle d'autorisation expérimental dans Node.js 20.
Veuillez noter qu'au moment où ce CVE a été émis, le modèle d'autorisation est une caractéristique expérimentale de Node.js.
`fs.mkdtemp()` and `fs.mkdtempSync()` can be used to bypass the permission model check using a path traversal attack. This flaw arises from a missing check in the fs.mkdtemp() API and the impact is a malicious actor could create an arbitrary directory. This vulnerability affects all users using the experimental permission model in Node.js 20. Please note that at the time this CVE was issued, the permission model is an experimental feature of Node.js. |
Vulnerability | ||
|
2023-08-15 15:15:09 | CVE-2023-4371 (lien direct) | Une vulnérabilité a été trouvée dans PHPRECDB 1.3.1.Il a été considéré comme problématique.Ce problème est une fonctionnalité inconnue du fichier /index.php.La manipulation de l'argument R / View conduit à des scripts du site croisé.L'attaque peut être lancée à distance.VDB-237194 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in phpRecDB 1.3.1. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /index.php. The manipulation of the argument r/view leads to cross site scripting. The attack may be launched remotely. VDB-237194 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-08-15 14:15:09 | CVE-2023-28479 (lien direct) | Un problème a été découvert dans TigerGraph Enterprise 3.7.0.La plate-forme TigerGraph installe une chaîne d'outils de développement complète dans chaque déploiement TigerGraph.Un attaquant est capable de compiler de nouveaux exécutables sur chaque système TigerGraph et de modifier le système et les binaires TigerGraph.
An issue was discovered in Tigergraph Enterprise 3.7.0. The TigerGraph platform installs a full development toolchain within every TigerGraph deployment. An attacker is able to compile new executables on each Tigergraph system and modify system and Tigergraph binaries. |
|||
|
2023-08-15 13:15:09 | CVE-2023-30498 (lien direct) | Unauth.Vulnérabilité reflétée de script croisé (XSS) dans Codeflavors Vimeotheque: Vimeo WordPress Plugin | Vulnerability | ||
|
2023-08-15 13:15:09 | CVE-2023-30747 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans WPGEM WooCommerce Plugin de produit en double facile | Vulnerability | ||
|
2023-08-15 13:15:09 | CVE-2023-30778 (lien direct) | Auth.(Contributeur +) Vulnérabilité de script de script croisé (XSS) dans le plugin de podcasting Blubrry PowerPress By Blubrry Plugin | Vulnerability | ||
|
2023-08-15 13:15:09 | CVE-2023-24478 (lien direct) | L'utilisation de valeurs insuffisamment aléatoires pour certains logiciels Intel Agilex (R) inclus dans le cadre du quartus (R) Quartus (R) Prime Pro Edition pour Linux avant la version 22.4 peut permettre à un utilisateur authentifié d'activer potentiellement la divulgation d'informations via l'accès local.
Use of insufficiently random values for some Intel Agilex(R) software included as part of Intel(R) Quartus(R) Prime Pro Edition for linux before version 22.4 may allow an authenticated user to potentially enable information disclosure via local access. |
|||
|
2023-08-15 09:15:09 | CVE-2023-2916 (lien direct) | Le plugin client InfiniteWP pour WordPress est vulnérable à l'exposition sensible aux informations dans les versions jusqu'à et y compris 1.11.1 via la fonction \\ 'admin_notice \'.Cela peut permettre aux attaquants authentifiés avec des autorisations de niveau d'abonné ou plus pour extraire des données sensibles, y compris la configuration.Il ne peut être exploité que si le plugin n'a pas encore été configuré.S'il est combiné avec une autre installation de plugin arbitraire et une vulnérabilité d'activation, il peut être possible de connecter un site à InfiniteWP qui rendrait la gestion à distance possible et permettrait une élévation des privilèges.
The InfiniteWP Client plugin for WordPress is vulnerable to Sensitive Information Exposure in versions up to, and including, 1.11.1 via the \'admin_notice\' function. This can allow authenticated attackers with subscriber-level permissions or above to extract sensitive data including configuration. It can only be exploited if the plugin has not been configured yet. If combined with another arbitrary plugin installation and activation vulnerability, it may be possible to connect a site to InfiniteWP which would make remote management possible and allow for elevation of privileges. |
|||
|
2023-08-15 08:15:09 | CVE-2023-4308 (lien direct) | Le plugin de messages soumis par l'utilisateur pour WordPress est vulnérable aux scripts inter-sites stockés via le & acirc; & euro; & tilde; utilisateur-soumis-contenu & acirc; & euro; & trad;Paramètre dans les versions jusqu'à et incluant 20230809 en raison de l'échappement insuffisant des entrées et de l'échappement de la sortie.Cela permet aux attaquants non authentifiés d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The User Submitted Posts plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘user-submitted-content’ parameter in versions up to, and including, 20230809 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-08-15 02:15:48 | CVE-2023-4347 (lien direct) | Scripting inter-site (XSS) - reflété dans le référentiel GitHub Librenms / Liberenms avant 23.8.0.
Cross-site Scripting (XSS) - Reflected in GitHub repository librenms/librenms prior to 23.8.0. |
|||
|
2023-08-14 23:15:10 | CVE-2022-32876 (lien direct) | Un problème de logique a été résolu avec des restrictions améliorées.Ce problème est résolu dans MacOS Ventura 13. Un raccourci peut être en mesure de voir l'album Hidden Photos sans authentification.
A logic issue was addressed with improved restrictions. This issue is fixed in macOS Ventura 13. A shortcut may be able to view the hidden photos album without authentication. |
|||
|
2023-08-14 23:15:10 | CVE-2022-26699 (lien direct) | Un problème de logique a été résolu avec une amélioration de la gestion de l'État.Ce problème est résolu dans MacOS Ventura 13. Une application peut être en mesure de provoquer un déni de service aux clients de sécurité de terminaison.
A logic issue was addressed with improved state management. This issue is fixed in macOS Ventura 13. An app may be able to cause a denial-of-service to Endpoint Security clients. |
|||
|
2023-08-14 23:15:10 | CVE-2022-42828 (lien direct) | Le problème a été résolu avec une meilleure gestion de la mémoire.Ce problème est résolu dans MacOS Ventura 13. Une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau.
The issue was addressed with improved memory handling. This issue is fixed in macOS Ventura 13. An app may be able to execute arbitrary code with kernel privileges. |
|||
|
2023-08-14 23:15:10 | CVE-2022-46706 (lien direct) | Un problème de confusion de type a été résolu avec une meilleure manipulation de l'État.Ce problème est résolu dans la mise à jour de la sécurité 2022-003 Catalina, MacOS Monterey 12.3, MacOS Big Sur 11.6.5.Une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau.
A type confusion issue was addressed with improved state handling. This issue is fixed in Security Update 2022-003 Catalina, macOS Monterey 12.3, macOS Big Sur 11.6.5. An application may be able to execute arbitrary code with kernel privileges. |
|||
|
2023-08-14 23:15:10 | CVE-2023-27947 (lien direct) | Une lecture hors limites a été traitée avec une meilleure validation d'entrée.Ce problème est résolu dans MacOS Ventura 13.3.Le traitement d'une image peut entraîner la divulgation de la mémoire de processus.
An out-of-bounds read was addressed with improved input validation. This issue is fixed in macOS Ventura 13.3. Processing an image may result in disclosure of process memory. |
|||
|
2023-08-14 23:15:10 | CVE-2022-46722 (lien direct) | Un problème de logique a été résolu avec des vérifications améliorées.Ce problème est résolu dans MacOS Ventura 13. Une application peut être en mesure de modifier les pièces protégées du système de fichiers.
A logic issue was addressed with improved checks. This issue is fixed in macOS Ventura 13. An app may be able to modify protected parts of the file system. |
|||
|
2023-08-14 23:15:10 | CVE-2023-27939 (lien direct) | Une lecture hors limites a été traitée avec une meilleure validation d'entrée.Ce problème est résolu dans MacOS Ventura 13.3.Le traitement d'une image peut entraîner la divulgation de la mémoire de processus.
An out-of-bounds read was addressed with improved input validation. This issue is fixed in macOS Ventura 13.3. Processing an image may result in disclosure of process memory. |
|||
|
2023-08-14 23:15:10 | CVE-2023-27948 (lien direct) | Une lecture hors limites a été traitée avec une meilleure validation d'entrée.Ce problème est résolu dans MacOS Ventura 13.3.Le traitement d'une image peut entraîner la divulgation de la mémoire de processus.
An out-of-bounds read was addressed with improved input validation. This issue is fixed in macOS Ventura 13.3. Processing an image may result in disclosure of process memory. |
|||
|
2023-08-14 23:15:10 | CVE-2023-28179 (lien direct) | Le problème a été résolu avec une meilleure gestion de la mémoire.Ce problème est résolu dans MacOS Ventura 13.3.Le traitement d'un binaire Applescript artisanal malicieusement peut entraîner une fin de l'application inattendue ou une divulgation de la mémoire de processus.
The issue was addressed with improved memory handling. This issue is fixed in macOS Ventura 13.3. Processing a maliciously crafted AppleScript binary may result in unexpected app termination or disclosure of process memory. |
To see everything:
