What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-29 17:15:48 | CVE-2023-5272 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Best Courier Management System 1.0.Cela affecte une partie inconnue du fichier edit_parcel.php du composant Get Paramet Handler.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-240885 a été attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in SourceCodester Best Courier Management System 1.0. This affects an unknown part of the file edit_parcel.php of the component GET Parameter Handler. The manipulation of the argument id leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier VDB-240885 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 16:15:10 | CVE-2023-5268 (lien direct) | Une vulnérabilité a été trouvée dans Dedebiz 6.2 et classée comme critique.Ce problème affecte un traitement inconnu du fichier /src/admin/makehtml_taglist_action.php.La manipulation de l'argument mktime conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-240881 a été attribué à cette vulnérabilité.
A vulnerability was found in DedeBIZ 6.2 and classified as critical. This issue affects some unknown processing of the file /src/admin/makehtml_taglist_action.php. The manipulation of the argument mktime leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-240881 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 16:15:10 | CVE-2023-5270 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter Best Courier Management System 1.0.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier View_Parcel.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240883.
A vulnerability was found in SourceCodester Best Courier Management System 1.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file view_parcel.php. The manipulation of the argument id leads to sql injection. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240883. |
Vulnerability | ||
|
2023-09-29 16:15:10 | CVE-2023-5269 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter Best Courier Management System 1.0.Il a été classé comme critique.Affecté est une fonction inconnue du fichier Parcel_list.php du composant Get Paramet Handler.La manipulation de l'argument s conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.VDB-240882 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Best Courier Management System 1.0. It has been classified as critical. Affected is an unknown function of the file parcel_list.php of the component GET Parameter Handler. The manipulation of the argument s leads to sql injection. The exploit has been disclosed to the public and may be used. VDB-240882 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 16:15:10 | CVE-2023-5271 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter Best Courier Management System 1.0.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier edit_parcel.php.La manipulation de l'e-mail de l'argument conduit à l'injection SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-240884.
A vulnerability was found in SourceCodester Best Courier Management System 1.0. It has been rated as critical. Affected by this issue is some unknown functionality of the file edit_parcel.php. The manipulation of the argument email leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-240884. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5264 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Huakecms 3.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier /admin/cms_content.php.La manipulation de l'argument CID conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-240877 a été attribué à cette vulnérabilité.
A vulnerability classified as critical was found in huakecms 3.0. Affected by this vulnerability is an unknown functionality of the file /admin/cms_content.php. The manipulation of the argument cid leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-240877 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5267 (lien direct) | Une vulnérabilité a été trouvée dans Tongda OA 2017 et classée comme critique.Cette vulnérabilité affecte le code inconnu du fichier général / hr / recrute / hr_pool / delete.php.La manipulation de l'argument experte_id conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 11.10 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant de cette vulnérabilité est VDB-240880.
A vulnerability has been found in Tongda OA 2017 and classified as critical. This vulnerability affects unknown code of the file general/hr/recruit/hr_pool/delete.php. The manipulation of the argument EXPERT_ID leads to sql injection. The exploit has been disclosed to the public and may be used. Upgrading to version 11.10 is able to address this issue. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-240880. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5266 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Dedebiz 6.2.Cela affecte une partie inconnue du fichier /src/admin/tags_main.php.La manipulation des ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240879.
A vulnerability, which was classified as critical, was found in DedeBIZ 6.2. This affects an unknown part of the file /src/admin/tags_main.php. The manipulation of the argument ids leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240879. |
Vulnerability | ||
|
2023-09-29 14:15:11 | CVE-2023-5263 (lien direct) | Une vulnérabilité a été trouvée dans ZZZCMS 2.1.7 et classée comme critique.Ce problème est la restauration de la fonction du fichier /admin/save.php du gestionnaire de fichiers de sauvegarde de la base de données des composants.La manipulation entraîne des problèmes d'autorisation.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-240872.
A vulnerability was found in ZZZCMS 2.1.7 and classified as critical. Affected by this issue is the function restore of the file /admin/save.php of the component Database Backup File Handler. The manipulation leads to permission issues. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-240872. |
Vulnerability | ||
|
2023-09-29 14:15:11 | CVE-2023-5262 (lien direct) | Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1 et classée comme critique.Cette vulnérabilité est la fonction ISIMG du fichier /admin/config/uplolodicon.php.La manipulation du nom de fichier de l'argument conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240871.
A vulnerability has been found in OpenRapid RapidCMS 1.3.1 and classified as critical. Affected by this vulnerability is the function isImg of the file /admin/config/uploadicon.php. The manipulation of the argument fileName leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240871. |
Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-39308 (lien direct) | Unauth.Vulnérabilité de script de script (XSS) stockée dans le plugin de rétroaction de l'équipe UserFeedBack | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41666 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin Stockdio Stock Quotes List | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41661 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans PressPage Entertainment Inc. Smarty pour le plugin WordPress | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41657 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Hollerbox de Groundhogg Inc. | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41663 (lien direct) | Unauth.Vulnérabilité des scripts cross-sites réfléchis (XSS) dans Giovambattista Fazioli WP Bannerize Pro Plugin | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41658 (lien direct) | Unauth.Vulnérabilité réfléchie des scripts croisés (XSS) dans I Treize web solution Galerie de photos Galerie de galerie & amp;Plugin de galerie de maçonnerie TILED | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41662 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin ULF Benjaminsson WP-Dtree | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41655 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Andreas Heigl Authldap | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41687 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin de catalogue de marchandises Irina Sokolovskaya | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41691 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin Pensopay Pensopay WooCommerce | Vulnerability | ||
|
2023-09-29 13:15:10 | CVE-2023-43944 (lien direct) | Une vulnérabilité de script de script de site transversale stockée (XSS) a été trouvée dans le système de gestion des tâches Sourcecodeter 1.0.Il permet aux attaquants d'exécuter du code arbitraire via le champ de paramètres dans index.php? Page = project_list.
A Stored Cross Site Scripting (XSS) vulnerability was found in SourceCodester Task Management System 1.0. It allows attackers to execute arbitrary code via parameter field in index.php?page=project_list. |
Vulnerability | ||
|
2023-09-29 13:15:10 | CVE-2023-43909 (lien direct) | Le système de gestion des hôpitaux à travers la validation 4770D a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre App_Contact dans AppSearch.php.
Hospital Management System thru commit 4770d was discovered to contain a SQL injection vulnerability via the app_contact parameter in appsearch.php. |
Vulnerability | ||
|
2023-09-29 12:15:13 | CVE-2023-5259 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans le FOU CMS.Cette vulnérabilité affecte le code inconnu du fichier /admin/cms_admin.php.La manipulation de l'argument Del mène au déni de service.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.Ce produit utilise une version roulante pour fournir une livraison continue.Par conséquent, aucun détail de version pour les versions affectées ni mise à jour n'est disponible.L'identifiant de cette vulnérabilité est VDB-240868.
A vulnerability classified as problematic was found in ForU CMS. This vulnerability affects unknown code of the file /admin/cms_admin.php. The manipulation of the argument del leads to denial of service. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. This product is using a rolling release to provide continious delivery. Therefore, no version details for affected nor updated releases are available. The identifier of this vulnerability is VDB-240868. |
Vulnerability | ||
|
2023-09-29 12:15:13 | CVE-2023-5258 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans OpenRapid RapidCMS 1.3.1.Cela affecte une partie inconnue du fichier /Resource/addgood.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240867.
A vulnerability classified as critical has been found in OpenRapid RapidCMS 1.3.1. This affects an unknown part of the file /resource/addgood.php. The manipulation of the argument id leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240867. |
Vulnerability | ||
|
2023-09-29 11:15:41 | CVE-2023-5257 (lien direct) | Une vulnérabilité a été trouvée dans Whitehsbg Jndiexploit 1.4 sur Windows.Il a été considéré comme problématique.Ce problème est la fonction HandleFileRequest du fichier src / main / java / com / feihong / ldap / httpserver.java.La manipulation conduit à une traversée de chemin.L'exploit a été divulgué au public et peut être utilisé.VDB-240866 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in WhiteHSBG JNDIExploit 1.4 on Windows. It has been rated as problematic. Affected by this issue is the function handleFileRequest of the file src/main/java/com/feihong/ldap/HTTPServer.java. The manipulation leads to path traversal. The exploit has been disclosed to the public and may be used. VDB-240866 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 08:15:09 | CVE-2023-32477 (lien direct) | Dell Common Event Adableur 8.9.8.2 pour Windows et Prior, contiennent une vulnérabilité de contrôle d'accès incorrect.Un utilisateur malveillant local peu privilégié peut potentiellement exploiter cette vulnérabilité pour gagner des privilèges élevés.
Dell Common Event Enabler 8.9.8.2 for Windows and prior, contain an improper access control vulnerability. A local low-privileged malicious user may potentially exploit this vulnerability to gain elevated privileges. |
Vulnerability | ||
|
2023-09-28 21:15:10 | CVE-2023-5185 (lien direct) | Le projet de système de gestion de gymnase v1.0 est vulnérable à
Une vulnérabilité de téléchargement de fichiers sans sécurité sur le fichier \\ '\'
paramètre de la page de profil / i.php, permettant un
Attaquant authentifié pour obtenir l'exécution de code distant
sur le serveur hébergeant l'application.
Gym Management System Project v1.0 is vulnerable to an Insecure File Upload vulnerability on the \'file\' parameter of profile/i.php page, allowing an authenticated attacker to obtain Remote Code Execution on the server hosting the application. |
Vulnerability | ||
|
2023-09-28 21:15:10 | CVE-2023-43013 (lien direct) | Le système de gestion des actifs v1.0 est vulnérable à un
vulnérabilité d'injection SQL non authentifiée sur le
\\ 'paramètre e-mail \' de la page index.php, permettant un
attaquant externe pour vider tout le contenu du
Contenu de la base de données et contourner le contrôle de connexion.
Asset Management System v1.0 is vulnerable to an unauthenticated SQL Injection vulnerability on the \'email\' parameter of index.php page, allowing an external attacker to dump all the contents of the database contents and bypass the login control. |
Vulnerability | ||
|
2023-09-28 20:15:10 | CVE-2023-43226 (lien direct) | Une vulnérabilité de téléchargement de fichiers arbitraires dans Dede / baidenews.php dans Dedecms 5.7.111 et précédemment permet aux attaquants d'exécuter du code arbitraire via le téléchargement d'un fichier PHP fabriqué.
An arbitrary file upload vulnerability in dede/baidunews.php in DedeCMS 5.7.111 and earlier allows attackers to execute arbitrary code via uploading a crafted PHP file. |
Vulnerability | ||
|
2023-09-28 19:15:10 | CVE-2023-5256 (lien direct) | Dans certains scénarios, le module JSON: API de Drupal \\ sortira des retournes d'erreur.Avec certaines configurations, cela peut entraîner la mise en cache des informations sensibles et mettre à la disposition des utilisateurs anonymes, conduisant à une escalade de privilèges.
Cette vulnérabilité n'affecte que les sites avec le module JSON: API activés et peut être atténué par la désinstallation de JSON: API.
Les modules GraphQL REST et contribués ne sont pas affectés.
In certain scenarios, Drupal\'s JSON:API module will output error backtraces. With some configurations, this may cause sensitive information to be cached and made available to anonymous users, leading to privilege escalation. This vulnerability only affects sites with the JSON:API module enabled, and can be mitigated by uninstalling JSON:API. The core REST and contributed GraphQL modules are not affected. |
Vulnerability | ||
|
2023-09-28 16:15:10 | CVE-2023-30415 (lien direct) | Sourcecodeter Packers and Movers Management System V1.0 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre ID à /inquiries/view_inquiry.php.
Sourcecodester Packers and Movers Management System v1.0 was discovered to contain a SQL injection vulnerability via the id parameter at /inquiries/view_inquiry.php. |
Vulnerability | ||
|
2023-09-28 15:15:12 | CVE-2023-43879 (lien direct) | Rite CMS 3.0 possède une vulnérabilité de script de sites croisées (XSS) qui permet aux attaquants d'exécuter du code arbitraire via une charge utile fabriquée dans les blocs de contenu global du menu d'administration.
Rite CMS 3.0 has a Cross-Site scripting (XSS) vulnerability that allows attackers to execute arbitrary code via a crafted payload into the Global Content Blocks in the Administration Menu. |
Vulnerability | ||
|
2023-09-28 15:15:12 | CVE-2023-43878 (lien direct) | Rite CMS 3.0 possède plusieurs vulnérabilités de script inter-sites (XSS) qui permettent aux attaquants d'exécuter du code arbitraire via une charge utile fabriquée dans les éléments du menu principal du menu d'administration.
Rite CMS 3.0 has Multiple Cross-Site scripting (XSS) vulnerabilities that allow attackers to execute arbitrary code via a crafted payload into the Main Menu Items in the Administration Menu. |
Vulnerability | ||
|
2023-09-28 15:15:12 | CVE-2023-43876 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans l'installation d'octobre V.3.4.16 permet à un attaquant d'exécuter des scripts Web arbitraires via une charge utile fabriquée injectée dans le champ DBHOST.
A Cross-Site Scripting (XSS) vulnerability in installation of October v.3.4.16 allows an attacker to execute arbitrary web scripts via a crafted payload injected into the dbhost field. |
Vulnerability | ||
|
2023-09-28 15:15:12 | CVE-2023-43884 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) en ID de référence des transactions de panneau, de Sub-Rion V4.2.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans \\ 'ID de référence \'.
A Cross-site scripting (XSS) vulnerability in Reference ID from the panel Transactions, of Subrion v4.2.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into \'Reference ID\' parameter. |
Vulnerability | ||
|
2023-09-28 14:15:25 | CVE-2023-43874 (lien direct) | La vulnérabilité des scripts multiples du site croisé (XSS) dans E017 CMS V.2.3.2 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué aux champs de droit d'auteur et d'auteur dans la méta & amp;Menu des balises personnalisées.
Multiple Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Copyright and Author fields in the Meta & Custom Tags Menu. |
Vulnerability | ||
|
2023-09-28 14:15:25 | CVE-2023-43873 (lien direct) | Une vulnérabilité de script Cross Site (XSS) dans E017 CMS V.2.3.2 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au nom déposé dans le menu Gérer.
A Cross Site Scripting (XSS) vulnerability in e017 CMS v.2.3.2 allows a local attacker to execute arbitrary code via a crafted script to the Name filed in the Manage Menu. |
Vulnerability | ||
|
2023-09-28 14:15:24 | CVE-2023-43872 (lien direct) | Une vulnérabilité de téléchargement de fichiers dans CMSMadesImple V.2.2.18 permet à un attaquant local de télécharger un fichier PDF avec un script de site croisé caché (XSS).
A File upload vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to upload a pdf file with hidden Cross Site Scripting (XSS). |
Vulnerability | ||
|
2023-09-28 14:15:23 | CVE-2023-43871 (lien direct) | Une vulnérabilité de téléchargement de fichiers dans WBCE V.1.6.1 permet à un attaquant local de télécharger un fichier PDF avec un script de site croisé caché (XSS).
A File upload vulnerability in WBCE v.1.6.1 allows a local attacker to upload a pdf file with hidden Cross Site Scripting (XSS). |
Vulnerability | ||
|
2023-09-28 14:15:17 | CVE-2022-47187 (lien direct) | Il y a une vulnérabilité XSS téléchargement de fichiers dans Generex CS141 sous la version 2.06.L'application Web permet le téléchargement de fichiers, ce qui permet de télécharger un fichier avec du contenu HTML.Lorsque les fichiers HTML sont autorisés, la charge utile XSS peut être injectée dans le fichier téléchargé.
There is a file upload XSS vulnerability in Generex CS141 below 2.06 version. The web application allows file uploading, making it possible to upload a file with HTML content. When HTML files are allowed, XSS payload can be injected into the uploaded file. |
Vulnerability | ||
|
2023-09-28 14:15:16 | CVE-2022-47186 (lien direct) | Il y a un téléchargement sans restriction de la vulnérabilité des fichiers dans Generex CS141 sous la version 2.06.Un attaquant peut télécharger et / ou supprimer tout type de fichier, sans aucune restriction de format et sans aucune authentification, dans le répertoire "Upload".
There is an unrestricted upload of file vulnerability in Generex CS141 below 2.06 version. An attacker could upload and/or delete any type of file, without any format restriction and without any authentication, in the "upload" directory. |
Vulnerability | ||
|
2023-09-28 04:15:12 | CVE-2023-38877 (lien direct) | Une vulnérabilité d'injection d'en-tête hôte existe dans l'économie V.0.9-Beta1 de Gugoan \\ et commet 3730880 (avril 2023).En envoyant un en-tête d'hôte spécialement conçu dans la demande de mot de passe de réinitialisation, il est possible d'envoyer des liens de réinitialisation de mot de passe aux utilisateurs qui, une fois cliqué, conduisent à un serveur contrôlé par l'attaquant et de fuir ainsi le jeton de réinitialisation du mot de passe.Cela permet à un attaquant de réinitialiser les mots de passe d'autres utilisateurs.
A host header injection vulnerability exists in gugoan\'s Economizzer v.0.9-beta1 and commit 3730880 (April 2023). By sending a specially crafted host header in the reset password request, it is possible to send password reset links to users which, once clicked, lead to an attacker-controlled server and thus leak the password reset token. This allows an attacker to reset other users\' passwords. |
Vulnerability | ||
|
2023-09-28 04:15:12 | CVE-2023-38871 (lien direct) | Le commit 3730880 (avril 2023) et le V.0.9-Beta1 de Gugoan Economizer ont une vulnérabilité d'énumération des utilisateurs dans la connexion et les fonctionnalités de mot de passe oubliées.L'application réagit différemment lorsqu'un utilisateur ou une adresse e-mail est valide, et quand ce n'est pas.Cela peut permettre à un attaquant de déterminer si un utilisateur ou une adresse e-mail est valide, ou des noms d'utilisateur et des adresses e-mail valides.
The commit 3730880 (April 2023) and v.0.9-beta1 of gugoan Economizzer has a user enumeration vulnerability in the login and forgot password functionalities. The app reacts differently when a user or email address is valid, and when it\'s not. This may allow an attacker to determine whether a user or email address is valid, or brute force valid usernames and email addresses. |
Vulnerability | ||
|
2023-09-28 04:15:12 | CVE-2023-38872 (lien direct) | Une vulnérabilité de référence d'objets directs directement (IDOR) dans Gugoan Economizzer Commit 3730880 (avril 2023) et V.0.9-Beta1 permet à tout attaquant non authentifié d'accéder aux pièces jointes à l'entrée de livre de caisse de tout autre utilisateur, s'il connaît l'ID de la pièce jointe.
An Insecure Direct Object Reference (IDOR) vulnerability in gugoan Economizzer commit 3730880 (April 2023) and v.0.9-beta1 allows any unauthenticated attacker to access cash book entry attachments of any other user, if they know the Id of the attachment. |
Vulnerability | ||
|
2023-09-28 04:15:12 | CVE-2023-38874 (lien direct) | Une vulnérabilité d'exécution du code distant (RCE) via un téléchargement de fichiers insécurisé existe dans Economizzer V.0.9-Beta1 de Gugoan \\ et commet 3730880 (avril 2023).Un attaquant malveillant peut télécharger un shell Web PHP comme pièce jointe lors de l'ajout d'une nouvelle entrée de livre de caisse.Ensuite, l'attaquant peut visiter le shell Web et exécuter des commandes arbitraires.
A remote code execution (RCE) vulnerability via an insecure file upload exists in gugoan\'s Economizzer v.0.9-beta1 and commit 3730880 (April 2023). A malicious attacker can upload a PHP web shell as an attachment when adding a new cash book entry. Afterwards, the attacker may visit the web shell and execute arbitrary commands. |
Vulnerability | ||
|
2023-09-28 04:15:11 | CVE-2023-38870 (lien direct) | Une vulnérabilité à l'injection SQL existe dans Gugoan Economizzer commet 3730880 (avril 2023) et V.0.9-Beta1.Le livre de caisse a une fonctionnalité pour répertorier les réalisations par catégorie, et le paramètre \\ 'category_id \' est vulnérable à l'injection SQL.
A SQL injection vulnerability exists in gugoan Economizzer commit 3730880 (April 2023) and v.0.9-beta1. The cash book has a feature to list accomplishments by category, and the \'category_id\' parameter is vulnerable to SQL Injection. |
Vulnerability | ||
|
2023-09-28 03:15:11 | CVE-2023-41446 (lien direct) | La vulnérabilité des scripts du site croisé dans phpkobo ajaxnewticker v.1.0.5 permet une télécommandeAttaquant pour exécuter du code arbitraire via un script fabriqué au paramètre de titre dans le composant index.php.
Cross Site Scripting vulnerability in phpkobo AjaxNewTicker v.1.0.5 allows a remote attacker to execute arbitrary code via a crafted script to the title parameter in the index.php component. |
Vulnerability | ||
|
2023-09-28 03:15:11 | CVE-2023-41447 (lien direct) | La vulnérabilité des scripts du site croisé dans phpkobo ajaxnewticker v.1.0.5 permet une télécommandeAttaquant pour exécuter du code arbitraire via une charge utile fabriquée au paramètre subcmd dans le composant index.php.
Cross Site Scripting vulnerability in phpkobo AjaxNewTicker v.1.0.5 allows a remote attacker to execute arbitrary code via a crafted payload to the subcmd parameter in the index.php component. |
Vulnerability | ||
|
2023-09-27 23:15:12 | CVE-2023-43233 (lien direct) | Une vulnérabilité de script inter-site stockée (XSS) dans le composant CMS / Content / Edit de YZNCMS V1.3.0 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de titre.
A stored cross-site scripting (XSS) vulnerability in the cms/content/edit component of YZNCMS v1.3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the title parameter. |
Vulnerability | ||
|
2023-09-27 23:15:12 | CVE-2023-43314 (lien direct) | La vulnérabilité de débordement de tampon dans Zyxel Zyxel V.PMG2005-T20B permet à un attaquant distant de provoquer un déni de service via un script fabriqué au paramètre UID dans le composant CGI-Bin / Login.asp.
Buffer Overflow vulnerability in ZYXEL ZYXEL v.PMG2005-T20B allows a remote attacker to cause a denial of service via a crafted script to the uid parameter in the cgi-bin/login.asp component. |
Vulnerability |
To see everything:
Our RSS (filtrered)
