What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-18 15:15:46 | CVE-2023-42371 (lien direct) | La vulnérabilité des scripts du site croisé dans l'éditeur de texte riche Summernote V.0.8.18 et avant permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué à la fonction d'insertion du lien dans le composant de l'éditeur.
Cross Site Scripting vulnerability in Summernote Rich Text Editor v.0.8.18 and before allows a remote attacker to execute arbitrary code via a crafted script to the insert link function in the editor component. |
Vulnerability | ||
|
2023-09-18 13:15:08 | CVE-2023-32187 (lien direct) | Une allocation de ressources sans limites ou une vulnérabilité de licenciement dans SUSE K3S permet aux attaquants ayant accès aux serveurs K3S \\ 'APECERVER / Supervisor Port (TCP 6443) provoquent le déni de service.
Ce numéro affecte K3S: de V1.24.0 avant V1.24.17 + K3S1, de V1.25.0 avant V1.25.13 + K3S1, de V1.26.0 avant V1.26.8 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de SEV1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0 avant V1.27.5 + K3S1, à partir de Sev1.27.0v1.28.0 avant V1.28.1 + K3S1.
An Allocation of Resources Without Limits or Throttling vulnerability in SUSE k3s allows attackers with access to K3s servers\' apiserver/supervisor port (TCP 6443) cause denial of service. This issue affects k3s: from v1.24.0 before v1.24.17+k3s1, from v1.25.0 before v1.25.13+k3s1, from v1.26.0 before v1.26.8+k3s1, from sev1.27.0 before v1.27.5+k3s1, from v1.28.0 before v1.28.1+k3s1. |
Vulnerability | ||
|
2023-09-18 13:15:08 | CVE-2023-34195 (lien direct) | Un problème a été découvert dans SystemFirmwaremanagementRuntimedxe dans Insyde Insydeh2o avec le noyau 5.0 à 5.5.L'implémentation de la méthode GetImage récupère la valeur d'une variable d'exécution nommée GetImageProgress, et utilise plus tard cette valeur comme pointeur de fonction.Cette variable est anéantie par le même module près de la fin de la fonction.En définissant cette variable UEFI à partir du système d'exploitation pour pointer dans le code personnalisé, un attaquant pourrait réaliser une exécution de code arbitraire dans la phase DXE, avant que plusieurs verrous de chipset ne soient définis.
An issue was discovered in SystemFirmwareManagementRuntimeDxe in Insyde InsydeH2O with kernel 5.0 through 5.5. The implementation of the GetImage method retrieves the value of a runtime variable named GetImageProgress, and later uses this value as a function pointer. This variable is wiped out by the same module near the end of the function. By setting this UEFI variable from the OS to point into custom code, an attacker could achieve arbitrary code execution in the DXE phase, before several chipset locks are set. |
|||
|
2023-09-18 12:15:07 | CVE-2023-42359 (lien direct) | La vulnérabilité de l'injection SQL dans la soumission du formulaire d'examen dans PHP avec le code source V.1.0 permet à un attaquant distant de dégénérer les privilèges via le paramètre Val-username dans /index.php.
SQL injection vulnerability in Exam Form Submission in PHP with Source Code v.1.0 allows a remote attacker to escalate privileges via the val-username parameter in /index.php. |
Vulnerability | ||
|
2023-09-18 12:15:07 | CVE-2023-41929 (lien direct) | Une vulnérabilité de détournement de DLL dans la carte mémoire Samsung & amp;Le logiciel PC UFD Authentication Utility avant 1.0.1 pourrait permettre à un attaquant local de dégénérer les privilèges.(Un attaquant doit déjà avoir des privilèges utilisateur sur Windows pour exploiter cette vulnérabilité.)
A DLL hijacking vulnerability in Samsung Memory Card & UFD Authentication Utility PC Software before 1.0.1 could allow a local attacker to escalate privileges. (An attacker must already have user privileges on Windows to exploit this vulnerability.) |
Vulnerability | ||
|
2023-09-18 12:15:07 | CVE-2023-42253 (lien direct) | Code-Projects Vehicle Management 1.0 est vulnérable aux scripts croisés du site (XSS) dans les comptes ADD via la facture no, à et Mammul.
Code-Projects Vehicle Management 1.0 is vulnerable to Cross Site Scripting (XSS) in Add Accounts via Invoice No, To, and Mammul. |
|||
|
2023-09-18 11:15:41 | CVE-2023-34999 (lien direct) | Une vulnérabilité d'injection de commande existe dans les versions de logiciels de matrice virtuelle VLink Vlink V5 ( | Vulnerability | ||
|
2023-09-18 09:15:07 | CVE-2020-36766 (lien direct) | Un problème a été découvert dans le noyau Linux avant 5.8.6.Drivers / Media / CEC / Core / CEC-API.C fuit un octet de mémoire du noyau sur un matériel spécifique à des utilisateurs non privilégiés, en raison de l'attribution directe de LOG_ADDRS avec un trou dans la structure.
An issue was discovered in the Linux kernel before 5.8.6. drivers/media/cec/core/cec-api.c leaks one byte of kernel memory on specific hardware to unprivileged users, because of directly assigning log_addrs with a hole in the struct. |
|||
|
2023-09-18 08:15:07 | CVE-2023-43115 (lien direct) | Dans Artifex GhostScript via 10.01.2, GDEVIJS.C dans GhostPDL peut conduire à l'exécution de code distante via des documents post-scriptum fabriqués car ils peuvent passer à l'appareil IJS, ou modifier le paramètre IJSServer, après l'activation plus sûre.Remarque: il est un risque documenté que le serveur IJS puisse être spécifié sur une ligne de commande GS (le périphérique IJS doit intrinsèquement exécuter une commande pour démarrer le serveur IJS).
In Artifex Ghostscript through 10.01.2, gdevijs.c in GhostPDL can lead to remote code execution via crafted PostScript documents because they can switch to the IJS device, or change the IjsServer parameter, after SAFER has been activated. NOTE: it is a documented risk that the IJS server can be specified on a gs command line (the IJS device inherently must execute a command to start the IJS server). |
|||
|
2023-09-18 07:15:38 | CVE-2023-43114 (lien direct) | Un problème a été découvert dans QT avant 5.15.16, 6.x avant 6.2.10 et 6.3.x à 6.5.x avant 6.5.3 sur Windows.Lorsque vous utilisez le moteur de police GDI, si une police corrompue est chargée via QFontDatabase :: AddApplicationFont {FromData], il peut provoquer une écrasement de l'application en raison de vérifications de longueur manquantes.
An issue was discovered in Qt before 5.15.16, 6.x before 6.2.10, and 6.3.x through 6.5.x before 6.5.3 on Windows. When using the GDI font engine, if a corrupted font is loaded via QFontDatabase::addApplicationFont{FromData], then it can cause the application to crash because of missing length checks. |
|||
|
2023-09-18 07:15:38 | CVE-2023-42524 (lien direct) | Certains produits Withsecure permettent une boucle infinie dans un moteur à balayage via des types de fichiers non spécifiés.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow an infinite loop in a scanning engine via unspecified file types. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 07:15:38 | CVE-2023-42525 (lien direct) | Certains produits Withsecure permettent une boucle infinie dans un moteur à balayage via des types de fichiers non spécifiés.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow an infinite loop in a scanning engine via unspecified file types. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 07:15:37 | CVE-2023-42522 (lien direct) | Certains produits WithSécure permettent un crash à distance d'un moteur à balayage via le traitement d'une structure d'importation dans un fichier PE.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow a remote crash of a scanning engine via processing of an import struct in a PE file. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 07:15:37 | CVE-2023-42523 (lien direct) | Certains produits Withsecure permettent un crash à distance d'un moteur à balayage via le déballage d'un fichier PE.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow a remote crash of a scanning engine via unpacking of a PE file. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 07:15:37 | CVE-2023-42521 (lien direct) | Certains produits Withsecure permettent un crash à distance d'un moteur à balayage via le traitement d'un fichier compressé.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow a remote crash of a scanning engine via processing of a compressed file. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 06:15:08 | CVE-2023-5036 (lien direct) | Le contrefaçon de demande de site transversal (CSRF) dans le référentiel GitHub USEMEMOS / Memos avant 0,15.1.
Cross-Site Request Forgery (CSRF) in GitHub repository usememos/memos prior to 0.15.1. |
|||
|
2023-09-18 06:15:08 | CVE-2023-42520 (lien direct) | Certains produits WithSécure permettent un crash à distance d'un moteur à balayage via le déballage des fichiers de données fabriqués.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow a remote crash of a scanning engine via unpacking of crafted data files. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 06:15:08 | CVE-2023-42526 (lien direct) | Certains produits Withsecure permettent un crash à distance d'un moteur à balayage via la décompression des fichiers de données fabriqués.Cela affecte la sécurité du client 15, avec sécurité de serveur 15, avec la sécurité des e-mails et du serveur 15, avec la protection des points de terminaison des éléments de sécurité et plus tard, avec la sécurité du client pour Mac 15, avec une protection de point de terminaison des éléments de sécurité pour Mac 17 et plus tard, Linux Security 64 12.0, LinuxProtection 12.0, et Withsecure Atlant (anciennement F-Secure Atlant) 1.0.35-1.
Certain WithSecure products allow a remote crash of a scanning engine via decompression of crafted data files. This affects WithSecure Client Security 15, WithSecure Server Security 15, WithSecure Email and Server Security 15, WithSecure Elements Endpoint Protection 17 and later, WithSecure Client Security for Mac 15, WithSecure Elements Endpoint Protection for Mac 17 and later, Linux Security 64 12.0 , Linux Protection 12.0, and WithSecure Atlant (formerly F-Secure Atlant) 1.0.35-1. |
|||
|
2023-09-18 05:15:07 | CVE-2023-5033 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans OpenRapid RapidCMS 1.3.1.Cela affecte une partie inconnue du fichier /admin/category/cate-edit-run.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239877 a été attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in OpenRapid RapidCMS 1.3.1. This affects an unknown part of the file /admin/category/cate-edit-run.php. The manipulation of the argument id leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239877 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-18 05:15:07 | CVE-2023-5034 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans Sourcecodeter My Food Recette 1.0.Cette vulnérabilité affecte le code inconnu du fichier index.php du gestionnaire de téléchargement d'image du composant.La manipulation conduit à un téléchargement sans restriction.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239878 est l'identifiant attribué à cette vulnérabilité.
A vulnerability classified as problematic was found in SourceCodester My Food Recipe 1.0. This vulnerability affects unknown code of the file index.php of the component Image Upload Handler. The manipulation leads to unrestricted upload. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-239878 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-18 04:15:11 | CVE-2023-5032 (lien direct) | Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier /admin/article/article-edit-run.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239876.
A vulnerability was found in OpenRapid RapidCMS 1.3.1. It has been rated as critical. Affected by this issue is some unknown functionality of the file /admin/article/article-edit-run.php. The manipulation of the argument id leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239876. |
Vulnerability | ||
|
2023-09-18 03:15:08 | CVE-2023-41349 (lien direct) | ASUS ROUTER RT-AX88U a une vulnérabilité de l'utilisation de chaînes de format contrôlables à l'extérieur dans sa fonction VPN ouverte avancée.Un attaquant distant authentifié peut exploiter la configuration OpenVPN exportée pour exécuter une attaque de chaîne de format à commande externe, entraînant une fuite d'informations de sensibilité, ou forcer l'appareil à réinitialiser et à déni permanent le service.
ASUS router RT-AX88U has a vulnerability of using externally controllable format strings within its Advanced Open VPN function. An authenticated remote attacker can exploit the exported OpenVPN configuration to execute an externally-controlled format string attack, resulting in sensitivity information leakage, or forcing the device to reset and permanent denial of service. |
Vulnerability | ||
|
2023-09-18 03:15:08 | CVE-2023-35851 (lien direct) | La fonction FAQ de Sunnet Wmpro Portal \\ a une validation insuffisante pour l'entrée de l'utilisateur.Un attaquant distant non authentifié peut injecter des commandes SQL arbitraires pour obtenir des informations sensibles via une base de données.
SUNNET WMPro portal\'s FAQ function has insufficient validation for user input. An unauthenticated remote attacker can inject arbitrary SQL commands to obtain sensitive information via a database. |
|||
|
2023-09-18 03:15:07 | CVE-2023-35850 (lien direct) | La fonction de gestion de fichiers de Sunnet WMPRO Portal \\ a une vulnérabilité de filtrage insuffisant pour la saisie de l'utilisateur.Un attaquant distant avec un privilège administrateur ou un compte privilégié peut exploiter cette vulnérabilité pour injecter et exécuter des commandes système arbitraires pour effectuer des opérations système arbitraires ou perturber le service.
SUNNET WMPro portal\'s file management function has a vulnerability of insufficient filtering for user input. A remote attacker with administrator privilege or a privileged account can exploit this vulnerability to inject and execute arbitrary system commands to perform arbitrary system operations or disrupt service. |
Vulnerability | ||
|
2023-09-18 02:15:51 | CVE-2023-5031 (lien direct) | Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier /admin/article/article-add.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-239875.
A vulnerability was found in OpenRapid RapidCMS 1.3.1. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /admin/article/article-add.php. The manipulation of the argument id leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239875. |
Vulnerability | ||
|
2023-09-17 22:15:47 | CVE-2023-5030 (lien direct) | Une vulnérabilité a été trouvée à Tongda OA jusqu'à 11.10 et classé comme critique.Cette vulnérabilité affecte le code inconnu du fichier général / hr / recrute / plan / delete.php.La manipulation de l'argument Plan_ID conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239872.
A vulnerability has been found in Tongda OA up to 11.10 and classified as critical. This vulnerability affects unknown code of the file general/hr/recruit/plan/delete.php. The manipulation of the argument PLAN_ID leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239872. |
Vulnerability | ||
|
2023-09-17 22:15:46 | CVE-2023-5029 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans MCCMS 2.6.Cela affecte une partie inconnue du fichier / catégorie / ordre / hits / copyright / 46 / finition / 1 / list / 1.La manipulation avec l'entrée \\ '"1 conduit à l'injection de SQL. L'exploit a été divulgué au public et peut être utilisé. L'identifiant associé de cette vulnérabilité est VDB-239871.
A vulnerability, which was classified as critical, was found in mccms 2.6. This affects an unknown part of the file /category/order/hits/copyright/46/finish/1/list/1. The manipulation with the input \'"1 leads to sql injection. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239871. |
Vulnerability | ||
|
2023-09-17 17:15:44 | CVE-2023-5027 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Simple Adhip System 1.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier club_validator.php.La manipulation du club d'arguments conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239869 a été attribué à cette vulnérabilité.
A vulnerability classified as critical was found in SourceCodester Simple Membership System 1.0. Affected by this vulnerability is an unknown functionality of the file club_validator.php. The manipulation of the argument club leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239869 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-17 11:15:07 | CVE-2023-5028 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée en Chine Unicom Tewa-800G 4.16L.04_CT2015_YUEME.Ce problème est une fonctionnalité inconnue.La manipulation conduit à l'exposition aux informations via le fichier journal de débogage.Il est possible de lancer l'attaque de l'appareil physique.La complexité d'une attaque est plutôt élevée.L'exploitation est connue pour être difficile.L'exploit a été divulgué au public et peut être utilisé.VDB-239870 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, has been found in China Unicom TEWA-800G 4.16L.04_CT2015_Yueme. Affected by this issue is some unknown functionality. The manipulation leads to information exposure through debug log file. It is possible to launch the attack on the physical device. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. VDB-239870 is the identifier assigned to this vulnerability. |
|||
|
2023-09-17 10:15:07 | CVE-2023-5026 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans Tongda OA 11.10.Affecté est une fonction inconnue du fichier /general/ipanel/menu_code.php?menu_type=fav.La manipulation de l'argument OA_SUB_WINDOW conduit à un script de site croisé.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239868.
A vulnerability classified as problematic has been found in Tongda OA 11.10. Affected is an unknown function of the file /general/ipanel/menu_code.php?MENU_TYPE=FAV. The manipulation of the argument OA_SUB_WINDOW leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239868. |
Vulnerability | ||
|
2023-09-17 07:15:10 | CVE-2023-5024 (lien direct) | Une vulnérabilité a été trouvée dans Planno 23.04.04.Il a été classé comme problématique.Cela affecte une partie inconnue du gestionnaire de commentaires des composants.La manipulation conduit à des scripts croisés.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239865 a été attribué à cette vulnérabilité.
A vulnerability was found in Planno 23.04.04. It has been classified as problematic. This affects an unknown part of the component Comment Handler. The manipulation leads to cross site scripting. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239865 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-17 07:15:10 | CVE-2023-5025 (lien direct) | Une vulnérabilité a été trouvée à Koha jusqu'à 23.05.03.Il a été déclaré problématique.Cette vulnérabilité affecte le code inconnu du fichier /cgi-bin/koha/catalogue/search.pl du composant marc.La manipulation conduit à des scripts croisés.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-239866 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in KOHA up to 23.05.03. It has been declared as problematic. This vulnerability affects unknown code of the file /cgi-bin/koha/catalogue/search.pl of the component MARC. The manipulation leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-239866 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-17 07:15:09 | CVE-2023-5023 (lien direct) | Une vulnérabilité a été trouvée dans Tongda OA 2017 et classée comme critique.Ce problème est une fonctionnalité inconnue du fichier général / hr / manage / staff_relatifs / delete.php.La manipulation de l'argument Parelative_id conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239864.
A vulnerability was found in Tongda OA 2017 and classified as critical. Affected by this issue is some unknown functionality of the file general/hr/manage/staff_relatives/delete.php. The manipulation of the argument RELATIVES_ID leads to sql injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239864. |
Vulnerability | ||
|
2023-09-17 06:15:07 | CVE-2023-5022 (lien direct) | Une vulnérabilité a été trouvée dans DeCECMS jusqu'à 5,7.100 et classée comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier /include/dialog/select_templets_post.php.La manipulation de l'argument ActivePath conduit à une traversée de chemin absolu.L'identifiant associé de cette vulnérabilité est VDB-239863.
A vulnerability has been found in DedeCMS up to 5.7.100 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /include/dialog/select_templets_post.php. The manipulation of the argument activepath leads to absolute path traversal. The associated identifier of this vulnerability is VDB-239863. |
Vulnerability | ||
|
2023-09-17 05:15:10 | CVE-2023-5020 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans 07fly CRM V2.Ce problème affecte un traitement inconnu du fichier /index.php/sysmanage/login/login_auth/ de la page de connexion de l'administrateur des composants.La manipulation du compte d'argument conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239861 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as critical, has been found in 07FLY CRM V2. This issue affects some unknown processing of the file /index.php/sysmanage/Login/login_auth/ of the component Administrator Login Page. The manipulation of the argument account leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239861 was assigned to this vulnerability. |
|||
|
2023-09-17 05:15:10 | CVE-2023-5021 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans le système de réparation et de services Sourcecodeter AC 1.0.Affecté est une fonction inconnue du fichier admin /? Page = system_info / contact_information.La manipulation de l'argument téléphone / mobile / adresse conduit à des scripts de site croisés.Il est possible de lancer l'attaque à distance.VDB-239862 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, was found in SourceCodester AC Repair and Services System 1.0. Affected is an unknown function of the file admin/?page=system_info/contact_information. The manipulation of the argument telephone/mobile/address leads to cross site scripting. It is possible to launch the attack remotely. VDB-239862 is the identifier assigned to this vulnerability. |
|||
|
2023-09-17 05:15:10 | CVE-2023-38040 (lien direct) | Une vulnérabilité XSS réfléchie existe dans Revive Adserver 5.4.1 et les versions antérieures.
A reflected XSS vulnerability exists in Revive Adserver 5.4.1 and earlier versions.. |
Vulnerability | ||
|
2023-09-17 04:15:11 | CVE-2023-5019 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Tongda OA.Cette vulnérabilité affecte le code inconnu du fichier général / hr / manage / staff_reinstatement / delete.php.La manipulation de l'argument ReinStation_ID conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 11.10 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant de cette vulnérabilité est VDB-239860.
A vulnerability classified as critical was found in Tongda OA. This vulnerability affects unknown code of the file general/hr/manage/staff_reinstatement/delete.php. The manipulation of the argument REINSTATEMENT_ID leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 11.10 is able to address this issue. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-239860. |
Vulnerability | ||
|
2023-09-17 04:15:10 | CVE-2023-5018 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Lost and Found Information System 1.0.Cela affecte une partie inconnue du fichier /classes/master.php?f=save_category du gestionnaire de paramètres de post composant.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'identifiant associé de cette vulnérabilité est VDB-239859.
A vulnerability classified as critical has been found in SourceCodester Lost and Found Information System 1.0. This affects an unknown part of the file /classes/Master.php?f=save_category of the component POST Parameter Handler. The manipulation of the argument id leads to sql injection. It is possible to initiate the attack remotely. The associated identifier of this vulnerability is VDB-239859. |
Vulnerability | ||
|
2023-09-17 03:15:08 | CVE-2023-5017 (lien direct) | Une vulnérabilité a été trouvée dans LMXCMS jusqu'à 1,41.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier admin.php.La manipulation du couvercle de l'argument conduit à l'injection de SQL.VDB-239858 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in lmxcms up to 1.41. It has been rated as critical. Affected by this issue is some unknown functionality of the file admin.php. The manipulation of the argument lid leads to sql injection. VDB-239858 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-17 02:15:08 | CVE-2023-5016 (lien direct) | Une vulnérabilité a été trouvée dans un flux d'araignée jusqu'à 0,5,0.Il a été déclaré comme critique.Cette vulnérabilité est la fonction DIVERMANAGER.GETCONNECTION DU FILE SRC / MAIN / Java / Org / SpiderFlow / Controller / DataSourController.java de l'API Component.La manipulation conduit à la désérialisation.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-239857 a été attribué à cette vulnérabilité.
A vulnerability was found in spider-flow up to 0.5.0. It has been declared as critical. Affected by this vulnerability is the function DriverManager.getConnection of the file src/main/java/org/spiderflow/controller/DataSourceController.java of the component API. The manipulation leads to deserialization. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-239857 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-17 02:15:07 | CVE-2023-5015 (lien direct) | Une vulnérabilité a été trouvée dans UCMS 1.4.7.Il a été classé comme problématique.Affecté est une fonction inconnue du fichier ajax.php? Do = starrayList.La manipulation de l'argument Strdefault conduit à des scripts croisés.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-239856.
A vulnerability was found in UCMS 1.4.7. It has been classified as problematic. Affected is an unknown function of the file ajax.php?do=strarraylist. The manipulation of the argument strdefault leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-239856. |
Vulnerability | ||
|
2023-09-17 01:15:34 | CVE-2023-5014 (lien direct) | Une vulnérabilité a été trouvée dans le site de commande des aliments SAKSHI2610 et classée comme critique.Ce problème affecte un traitement inconnu du fichier categoryfood.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-239855.
A vulnerability was found in Sakshi2610 Food Ordering Website 1.0 and classified as critical. This issue affects some unknown processing of the file categoryfood.php. The manipulation of the argument id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-239855. |
Vulnerability | ||
|
2023-09-16 23:15:07 | CVE-2023-5013 (lien direct) | Une vulnérabilité a été trouvée dans Pluck CMS 4.7.18 et classée comme problématique.Cette vulnérabilité affecte le code inconnu du fichier install.php du gestionnaire d'installation des composants.La manipulation du contenu de l'argument avec l'alerte d'entrée (\\ 'xss \') conduit à la script du site croisé.L'attaque peut être initiée à distance.La complexité d'une attaque est plutôt élevée.L'exploitation semble difficile.L'exploit a été divulgué au public et peut être utilisé.VDB-239854 est l'identifiant attribué à cette vulnérabilité.
A vulnerability has been found in Pluck CMS 4.7.18 and classified as problematic. This vulnerability affects unknown code of the file install.php of the component Installation Handler. The manipulation of the argument contents with the input alert(\'xss\') leads to cross site scripting. The attack can be initiated remotely. The complexity of an attack is rather high. The exploitation appears to be difficult. The exploit has been disclosed to the public and may be used. VDB-239854 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-16 21:15:47 | CVE-2023-5012 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans Topaz OFD 2.11.0.201.Cela affecte une partie inconnue du fichier C: \ Program Files \ Topaz ofd \ Varsovie \ Core.exe du module de protection des composants Varsovie.La manipulation conduit à un chemin de recherche non cité.Attaquer localement est une exigence.L'identifiant VDB-239853 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability, which was classified as problematic, was found in Topaz OFD 2.11.0.201. This affects an unknown part of the file C:\Program Files\Topaz OFD\Warsaw\core.exe of the component Protection Module Warsaw. The manipulation leads to unquoted search path. Attacking locally is a requirement. The identifier VDB-239853 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
|||
|
2023-09-16 09:15:07 | CVE-2023-3025 (lien direct) | Le plugin de partage de dossier Dropbox pour WordPress est vulnérable à la contrefaçon de demande côté serveur dans les versions jusqu'à et y compris 1.9.7 via le paramètre \\ 'link \'.Cela peut permettre aux attaquants non authentifiés de faire des demandes Web à des emplacements arbitraires provenant de l'application Web et peut être utilisé pour interroger et modifier des informations à partir de services internes.
The Dropbox Folder Share plugin for WordPress is vulnerable to Server-Side Request Forgery in versions up to, and including, 1.9.7 via the \'link\' parameter. This can allow unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services. |
|||
|
2023-09-16 06:15:07 | CVE-2023-41157 (lien direct) | Les vulnérabilités de script de script inter-sites (XSS) stockées plusieurs dans Usermin 2.000 permettent aux attaquants distants d'injecter un script Web arbitraire ou un HTML via le paramètre de nom de dossier tout en créant le dossier pour gérer l'onglet de dossier, l'onglet Filtre et l'onglet courrier vers l'avant.
Multiple stored cross-site scripting (XSS) vulnerabilities in Usermin 2.000 allow remote attackers to inject arbitrary web script or HTML via the folder name parameter while creating the folder to manage the folder tab, filter tab, and forward mail tab. |
Vulnerability | ||
|
2023-09-16 05:15:45 | CVE-2023-5001 (lien direct) | L'annonce de défilement horizontal pour le plugin WordPress pour WordPress est vulnérable aux scripts inter-sites stockés via \\ 'horizontal-scrolling \' shortcode dans les versions jusqu'à et incluant 9.2 en raison de la désintérage des entrées et de la sortie insuffisantes en étendue sur les attributs fournis par l'utilisateur.Cela permet aux attaquants authentifiés avec des autorisations au niveau des contributeurs et au-dessus d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The Horizontal scrolling announcement for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via \'horizontal-scrolling\' shortcode in versions up to, and including, 9.2 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers with contributor-level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-09-16 02:15:07 | CVE-2023-4994 (lien direct) | Le plugin Autoriser PHP dans les publications et les pages pour WordPress est vulnérable à l'exécution de code distant dans les versions jusqu'à et y compris 3.0.4 via le shortcode \\ 'php \'.Cela permet aux attaquants authentifiés avec des autorisations de niveau abonné ou plus, d'exécuter du code sur le serveur.
The Allow PHP in Posts and Pages plugin for WordPress is vulnerable to Remote Code Execution in versions up to, and including, 3.0.4 via the \'php\' shortcode. This allows authenticated attackers with subscriber-level permissions or above, to execute code on the server. |
|||
|
2023-09-16 01:15:08 | CVE-2023-42336 (lien direct) | Un problème dans les systèmes Netis WF2409EV4 V.1.0.1.705 permet à un attaquant distant d'exécuter du code arbitraire et d'obtenir des informations sensibles via le paramètre de mot de passe dans le composant /etc/shadow.sample.
An issue in NETIS SYSTEMS WF2409Ev4 v.1.0.1.705 allows a remote attacker to execute arbitrary code and obtain sensitive information via the password parameter in the /etc/shadow.sample component. |
To see everything:
Our RSS (filtrered)
