What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-25 18:17:36 | CVE-2023-46136 (lien direct) | Werkzug est une bibliothèque complète des applications Web WSGI.Si un téléchargement d'un fichier qui commence par CR ou LF, puis est suivi par des mégaoctets de données sans ces caractères: tous ces octets sont annexés en morceaux en bytearray interne et la recherche pour la limite est effectuée sur un tampon de croissance.Cela permet à un attaquant de provoquer un déni de service en envoyant des données en multiparte fabriquées à un point final qui l'analysera.La quantité de temps de CPU requise peut empêcher les processus de travail de gérer les demandes légitimes.Cette vulnérabilité a été corrigée dans la version 3.0.1.
Werkzeug is a comprehensive WSGI web application library. If an upload of a file that starts with CR or LF and then is followed by megabytes of data without these characters: all of these bytes are appended chunk by chunk into internal bytearray and lookup for boundary is performed on growing buffer. This allows an attacker to cause a denial of service by sending crafted multipart data to an endpoint that will parse it. The amount of CPU time required can block worker processes from handling legitimate requests. This vulnerability has been patched in version 3.0.1. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46124 (lien direct) | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans les environnements d'exécution et l'application des réglementations de confidentialité dans le code.L'application Web Fides permet à une intégration personnalisée d'être téléchargée sous forme de fichiers zip contenant des définitions de configuration et d'ensemble de données au format YAML.Il a été découvert que des fichiers de données et de configuration YAML spécialement conçus permettent à un utilisateur malveillant d'effectuer des demandes arbitraires aux systèmes internes et à exfiltrer des données en dehors de l'environnement (également connu sous le nom de contrefaçon de demande côté serveur).L'application n'effectue pas une validation appropriée pour bloquer les tentatives de se connecter aux ressources internes (y compris locaux).La vulnérabilité a été corrigée dans la version Fides `2.22.1`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in runtime environments, and the enforcement of privacy regulations in code. The Fides web application allows a custom integration to be uploaded as a ZIP file containing configuration and dataset definitions in YAML format. It was discovered that specially crafted YAML dataset and config files allow a malicious user to perform arbitrary requests to internal systems and exfiltrate data outside the environment (also known as a Server-Side Request Forgery). The application does not perform proper validation to block attempts to connect to internal (including localhost) resources. The vulnerability has been patched in Fides version `2.22.1`. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46125 (lien direct) | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans un environnement d'exécution et l'application des réglementations de confidentialité dans le code.L'API Fides WebServer permet aux utilisateurs de récupérer sa configuration à l'aide de l'API `Get API / V1 / Config` Point.Les données de configuration sont filtrées pour supprimer les informations de configuration les plus sensibles avant qu'elles ne soient renvoyées à l'utilisateur, mais même les données filtrées contiennent des informations sur les internes et l'infrastructure backend, telles que divers paramètres, serveurs & acirc; & euro; & commerce;Adresses et ports et nom d'utilisateur de base de données.Ces informations sont utiles pour les utilisateurs administratifs ainsi que pour les attaquants, il ne faut donc pas révéler aux utilisateurs peu privilégiés.Cette vulnérabilité permet aux utilisateurs de l'interface utilisateur d'administration avec des rôles inférieurs au rôle du propriétaire, par exempleLe rôle de la visionneuse pour récupérer les informations de configuration à l'aide de l'API.La vulnérabilité a été corrigée dans la version Fides `2.22.1`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in a runtime environment, and the enforcement of privacy regulations in code. The Fides webserver API allows users to retrieve its configuration using the `GET api/v1/config` endpoint. The configuration data is filtered to suppress most sensitive configuration information before it is returned to the user, but even the filtered data contains information about the internals and the backend infrastructure, such as various settings, servers’ addresses and ports and database username. This information is useful for administrative users as well as attackers, thus it should not be revealed to low-privileged users. This vulnerability allows Admin UI users with roles lower than the owner role e.g. the viewer role to retrieve the config information using the API. The vulnerability has been patched in Fides version `2.22.1`. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46118 (lien direct) | RabbitMQ est un courtier de messagerie et de streaming multi-protocole.L'API HTTP n'a pas appliqué de limite de corps de demande HTTP, ce qui le rend vulnérable aux attaques de déni de service (DOS) avec de très gros messages.Un utilisateur authentifié avec des informations d'identification suffisantes peut publier un très gros messages sur l'API HTTP et provoquer la résiliation du nœud cible par un mécanisme de type "tueur hors mémoire".Cette vulnérabilité a été corrigée dans les versions 3.11.24 et 3.12.7.
RabbitMQ is a multi-protocol messaging and streaming broker. HTTP API did not enforce an HTTP request body limit, making it vulnerable for denial of service (DoS) attacks with very large messages. An authenticated user with sufficient credentials can publish a very large messages over the HTTP API and cause target node to be terminated by an "out-of-memory killer"-like mechanism. This vulnerability has been patched in versions 3.11.24 and 3.12.7. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46123 (lien direct) | JumpServer est une machine de bastion open source, un système d'audit de sécurité professionnelle et de maintenance qui est conforme aux spécifications 4A.Une faille dans l'API Core permet aux attaquants de contourner les protections de force brute de mot de passe en usurpant des adresses IP arbitraires.En exploitant cette vulnérabilité, les attaquants peuvent effectuer efficacement des tentatives de mot de passe illimitées en modifiant leur adresse IP apparente pour chaque demande.Cette vulnérabilité a été corrigée dans la version 3.8.0.
jumpserver is an open source bastion machine, professional operation and maintenance security audit system that complies with 4A specifications. A flaw in the Core API allows attackers to bypass password brute-force protections by spoofing arbitrary IP addresses. By exploiting this vulnerability, attackers can effectively make unlimited password attempts by altering their apparent IP address for each request. This vulnerability has been patched in version 3.8.0. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46135 (lien direct) | RS-stellar-Stryke est une lib rouille pour encoder / décodage de strkys stellaires.Une vulnérabilité de panique se produit lorsqu'une charge utile spécialement conçue est utilisée.`Inner_payload_len` ne devrait pas supérieure à 64. Cette vulnérabilité a été corrigée dans la version 0.0.8.
rs-stellar-strkey is a Rust lib for encode/decode of Stellar Strkeys. A panic vulnerability occurs when a specially crafted payload is used.`inner_payload_len` should not above 64. This vulnerability has been patched in version 0.0.8. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46102 (lien direct) | L'application client Android, lorsqu'elle est inscrite au serveur AppHub, se connecte à un MQTT
Broker pour échanger des messages et recevoir des commandes à exécuter sur le périphérique HMI.
Le protocole s'appuie sur MQTT pour implémenter la gestion à distance de l'appareil est chiffré par une clé DES à code dur, qui peut être récupérée en inversant à la fois l'application client Android et l'application Web côté serveur.
Ce problème permet à un attaquant de contrôler un courtier MQTT malveillant sur le même sous-réseau
réseau de l'appareil, pour élaborer des messages malveillants et les envoyer sur l'appareil HMI, en exécutant des commandes arbitraires sur l'appareil lui-même.
The Android Client application, when enrolled to the AppHub server, connects to an MQTT broker to exchange messages and receive commands to execute on the HMI device. The protocol builds on top of MQTT to implement the remote management of the device is encrypted with a hard-coded DES symmetric key, that can be retrieved reversing both the Android Client application and the server-side web application. This issue allows an attacker able to control a malicious MQTT broker on the same subnet network of the device, to craft malicious messages and send them to the HMI device, executing arbitrary commands on the device itself. |
|||
|
2023-10-25 18:17:36 | CVE-2023-46119 (lien direct) | Parse Server est un backend open source qui peut être déployé dans n'importe quelle infrastructure qui peut exécuter Node.js.Le serveur d'analyse se bloque lors du téléchargement d'un fichier sans extension.Cette vulnérabilité a été corrigée dans les versions 5.5.6 et 6.3.1.
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Parse Server crashes when uploading a file without extension. This vulnerability has been patched in versions 5.5.6 and 6.3.1. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46126 (lien direct) | Fides est une plate-forme d'ingénierie de confidentialité open source pour gérer la réalisation des demandes de confidentialité des données dans les environnements d'exécution, contribuant à appliquer les réglementations de confidentialité dans le code.L'application Web Fides permet aux utilisateurs de modifier le consentement et les avis de confidentialité tels que les bannières cookies.La vulnérabilité permet d'élaborer une charge utile dans l'URL de la politique de confidentialité qui déclenche l'exécution JavaScript lorsque l'avis de confidentialité est desservi par un site Web intégré.La portée du domaine du JavaScript exécuté est celle du site Web intégré.L'exploitation est limitée aux utilisateurs d'administration d'administration avec le rôle de contributeur ou plus.La vulnérabilité a été corrigée dans la version Fides `2.22.1`.
Fides is an open-source privacy engineering platform for managing the fulfillment of data privacy requests in runtime environments, helping enforce privacy regulations in code. The Fides web application allows users to edit consent and privacy notices such as cookie banners. The vulnerability makes it possible to craft a payload in the privacy policy URL which triggers JavaScript execution when the privacy notice is served by an integrated website. The domain scope of the executed JavaScript is that of the integrated website. Exploitation is limited to Admin UI users with the contributor role or higher. The vulnerability has been patched in Fides version `2.22.1`. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46128 (lien direct) | Nautobot est une plate-forme d'automatisation de réseau construite en tant qu'application Web au sommet du framework Django Python avec une base de données PostgreSQL ou MySQL.Dans Nautobot 2.0.x, certains points de terminaison de l'API REST, en combinaison avec le paramètre `? Depth = ` Query, peuvent exposer les mots de passe de l'utilisateur hachés tels que stockés dans la base de données à n'importe quel utilisateur authentifié avec accès à ces points de terminaison.Les mots de passe ne sont pas exposés en texte en clair.Cette vulnérabilité a été corrigée dans la version 2.0.3.
Nautobot is a Network Automation Platform built as a web application atop the Django Python framework with a PostgreSQL or MySQL database. In Nautobot 2.0.x, certain REST API endpoints, in combination with the `?depth=` query parameter, can expose hashed user passwords as stored in the database to any authenticated user with access to these endpoints. The passwords are not exposed in plaintext. This vulnerability has been patched in version 2.0.3. |
Vulnerability | ||
|
2023-10-25 18:17:36 | CVE-2023-46152 (lien direct) | Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans RealMag777 Wolf & acirc; & euro; & ldquo;WordPress Posts Editor Bulk Editor and Manager Plugin professionnel | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46068 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans Xqueue GmbH MailEon pour le plugin WordPress | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46071 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans ClickDatos Protecci & Atilde; & Sup3; N de Datos Rgpd Plugin | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45833 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Suite Leadsquared | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46069 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin de calendrier d'archives Osmansorkar Ajax | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45837 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans le plugin Xydac Ultimate Taxonomy Manager | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-46010 (lien direct) | Un problème dans SEACMS V.12.9 permet à un attaquant d'exécuter des commandes arbitraires via le composant admin_safe.php.
An issue in SeaCMS v.12.9 allows an attacker to execute arbitrary commands via the admin_safe.php component. |
|||
|
2023-10-25 18:17:35 | CVE-2023-46070 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin Emmanuel Georjon eg-Attachments | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45851 (lien direct) | L'application client Android, lorsqu'elle est inscrite au serveur AppHub, se connecte à un courtier MQTT sans appliquer aucune authentification du serveur. & Acirc; & nbsp;
Ce problème permet à un attaquant de forcer l'application client Android à se connecter à un courtier MQTT malveillant, lui permettant d'envoyer de faux messages à l'appareil HMI
The Android Client application, when enrolled to the AppHub server,connects to an MQTT broker without enforcing any server authentication. This issue allows an attacker to force the Android Client application to connect to a malicious MQTT broker, enabling it to send fake messages to the HMI device |
|||
|
2023-10-25 18:17:35 | CVE-2023-45960 (lien direct) | Un problème dans DOM4.j org.dom4.io.SaxReader V.2.1.4 et avant permet à un attaquant distant d'obtenir des informations sensibles via la fonction SetFeature.
An issue in dom4.j org.dom4.io.SAXReader v.2.1.4 and before allows a remote attacker to obtain sensitive information via the setFeature function. |
|||
|
2023-10-25 18:17:35 | CVE-2023-45990 (lien direct) | La vulnérabilité des autorisations en insécurité dans WenwenaICMS V.1.0 permet à un attaquant distant de dégénérer les privilèges.
Insecure Permissions vulnerability in WenwenaiCMS v.1.0 allows a remote attacker to escalate privileges. |
Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45835 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de hub libsyn libsyn public | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45832 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Martin Gibson WP GOTOWEBINAR | Vulnerability | ||
|
2023-10-25 18:17:35 | CVE-2023-45844 (lien direct) | La vulnérabilité permet à un utilisateur privilégié faible qui a accès à l'appareil lorsqu'ils sont verrouillés en mode kiosque pour installer une application Android arbitraire et le tirer parti pour avoir accès à des paramètres de périphérique critiques tels que la gestion de l'alimentation de l'appareil ou éventuellement les paramètres sécurisés de l'appareil (débogage de BAD).
The vulnerability allows a low privileged user that have access to the device when locked in Kiosk mode to install an arbitrary Android application and leverage it to have access to critical device settings such as the device power management or eventually the device secure settings (ADB debug). |
Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45764 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le post de défilement gopi ramasamy
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Gopi Ramasamy Scroll post excerpt plugin |
Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45761 (lien direct) | Unauth.Vulnérabilité reflétée de scripts inter-sites (XSS) dans le plugin de plugin de rédaction Joovii Sendle | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45759 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans Peter Keung Peter & acirc; & euro; & Trade; s Plugin anti-spam personnalisé | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45772 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de relecture de scribit | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45756 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Spider Teams ApplyOnline & acirc; & euro; & ldquo;Formulaire d'application Builder et Manager Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45770 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de vitesse WP FastWPSpeed | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45768 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de la page suivante de Stephanie Leary | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45758 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin d'administration transparent Marco Milesi | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45767 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin tweet simple wokamoto | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45769 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de post de rapport Alex Raven WP | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45829 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans HappyBox Newsletter & amp;Expéditeur de courrier électronique en vrac & acirc; & euro; & ldquo;Email Newsletter Plugin for WordPress Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45755 (lien direct) | Auth.(ADMIN +) Vulnérabilité de script inter-site stockée (XSS) dans BuddyBoss Buddypress Global Search Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45747 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Syed Balkhi WP Lightbox 2 | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45640 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans Technowich Wp ulike & acirc; & euro; & ldquo;Plugin de boîte à outils de marketing WordPress la plus avancée | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45634 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin BizTechc Copy ou Move Commentaires | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45220 (lien direct) | L'application client Android, lorsqu'elle est inscrite avec la méthode Define 1 (l'utilisateur insère manuellement l'adresse IP du serveur), utilisez le protocole HTTP pour récupérer des informations sensibles (adresse IP et informations d'identification pour se connecter à une entité de courtier MQTT distante) au lieu de HTTPS et de cette fonctionnalitén'est pas configurable par l'utilisateur.
The Android Client application, when enrolled with the define method 1(the user manually inserts the server ip address), use HTTP protocol to retrieve sensitive information (ip address and credentials to connect to a remote MQTT broker entity) instead of HTTPS and this feature is not configurable by the user. |
|||
|
2023-10-25 18:17:33 | CVE-2023-45754 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans I Treize Web Solution Easy Testimonial Slider and Form Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45321 (lien direct) | L'application client Android, lorsqu'elle est inscrite avec la méthode Define 1 (l'utilisateur insère manuellement l'adresse IP du serveur), utilisez le protocole HTTP pour récupérer des informations sensibles (adresse IP et informations d'identification pour se connecter à une entité de courtier MQTT distante) au lieu de HTTPS et de cette fonctionnalitén'est pas configurable par l'utilisateur.En raison du manque de cryptage de HTTP, ce problème permet à un attaquant placé dans le même réseau de sous-réseau du périphérique HMI pour intercepter le nom d'utilisateur et le mot de passe nécessaires pour s'authentifier avec le serveur MQTT chargé d'implémenter le protocole de gestion à distance.
The Android Client application, when enrolled with the define method 1 (the user manually inserts the server ip address), use HTTP protocol to retrieve sensitive information (ip address and credentials to connect to a remote MQTT broker entity) instead of HTTPS and this feature is not configurable by the user. Due to the lack of encryption of HTTP,this issue allows an attacker placed in the same subnet network of the HMI device to intercept username and password necessary to authenticate to the MQTT server responsible to implement the remote management protocol. |
|||
|
2023-10-25 18:17:33 | CVE-2023-45554 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via la modification du paramètre ImageExt à partir de JPG, JPEG, GIF et PNG vers JPG, JPEG, GIF, PNG, PPHPHP.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via modification of the imageext parameter from jpg, jpeg,gif, and png to jpg, jpeg,gif, png, pphphp. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45555 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via un fichier fabriqué à la fonction Down_Url dans le fichier zzz.php.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via a crafted file to the down_url function in zzz.php file. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45637 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans EventPrime EventPrime & acirc; & euro; & ldquo;Calendrier des événements, Plugin de réservations et de billets | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45644 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin de générateur de raccourcis de short dehmukh CPT ANURAG DESHMUKH | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45646 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de bloc HenryholtGeerts PDF | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45750 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Posimyth Nexter Extension Plugin | Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43795 (lien direct) | GeoServer est un serveur logiciel open source écrit en Java qui permet aux utilisateurs de partager et de modifier les données géospatiales.La spécification OGC Web Processing Service (WPS) est conçue pour traiter les informations de tout serveur à l'aide de demandes GET et POST.Cela présente l'opportunité de falsification des demandes côté serveur.Cette vulnérabilité a été corrigée dans les version 2.22.5 et 2.23.2.
GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. The OGC Web Processing Service (WPS) specification is designed to process information from any server using GET and POST requests. This presents the opportunity for Server Side Request Forgery. This vulnerability has been patched in version 2.22.5 and 2.23.2. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-44767 (lien direct) | Une vulnérabilité de téléchargement de fichiers dans RiteCMS 3.0 permet à un attaquant local de télécharger un fichier SVG avec le contenu XSS.
A File upload vulnerability in RiteCMS 3.0 allows a local attacker to upload a SVG file with XSS content. |
Vulnerability |
To see everything:
Our RSS (filtrered)
