What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-29 16:15:10 | CVE-2023-5270 (lien direct) | Une vulnérabilité a été trouvée dans Sourcecodeter Best Courier Management System 1.0.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier View_Parcel.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240883.
A vulnerability was found in SourceCodester Best Courier Management System 1.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file view_parcel.php. The manipulation of the argument id leads to sql injection. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240883. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5267 (lien direct) | Une vulnérabilité a été trouvée dans Tongda OA 2017 et classée comme critique.Cette vulnérabilité affecte le code inconnu du fichier général / hr / recrute / hr_pool / delete.php.La manipulation de l'argument experte_id conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 11.10 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant de cette vulnérabilité est VDB-240880.
A vulnerability has been found in Tongda OA 2017 and classified as critical. This vulnerability affects unknown code of the file general/hr/recruit/hr_pool/delete.php. The manipulation of the argument EXPERT_ID leads to sql injection. The exploit has been disclosed to the public and may be used. Upgrading to version 11.10 is able to address this issue. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-240880. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5265 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Tongda OA 2017. La affecté par ce problème est une fonctionnalité inconnue du fichier général / hr / manage / staff_transfer / delete.php.La manipulation de l'argument transfert_id conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 11.10 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.VDB-240878 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as critical, has been found in Tongda OA 2017. Affected by this issue is some unknown functionality of the file general/hr/manage/staff_transfer/delete.php. The manipulation of the argument TRANSFER_ID leads to sql injection. The exploit has been disclosed to the public and may be used. Upgrading to version 11.10 is able to address this issue. It is recommended to upgrade the affected component. VDB-240878 is the identifier assigned to this vulnerability. |
|||
|
2023-09-29 15:15:10 | CVE-2023-5266 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Dedebiz 6.2.Cela affecte une partie inconnue du fichier /src/admin/tags_main.php.La manipulation des ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240879.
A vulnerability, which was classified as critical, was found in DedeBIZ 6.2. This affects an unknown part of the file /src/admin/tags_main.php. The manipulation of the argument ids leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240879. |
Vulnerability | ||
|
2023-09-29 15:15:10 | CVE-2023-5264 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Huakecms 3.0.Cette vulnérabilité est une fonctionnalité inconnue du fichier /admin/cms_content.php.La manipulation de l'argument CID conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-240877 a été attribué à cette vulnérabilité.
A vulnerability classified as critical was found in huakecms 3.0. Affected by this vulnerability is an unknown functionality of the file /admin/cms_content.php. The manipulation of the argument cid leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-240877 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 14:15:11 | CVE-2023-5262 (lien direct) | Une vulnérabilité a été trouvée dans OpenRapid RapidCMS 1.3.1 et classée comme critique.Cette vulnérabilité est la fonction ISIMG du fichier /admin/config/uplolodicon.php.La manipulation du nom de fichier de l'argument conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240871.
A vulnerability has been found in OpenRapid RapidCMS 1.3.1 and classified as critical. Affected by this vulnerability is the function isImg of the file /admin/config/uploadicon.php. The manipulation of the argument fileName leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240871. |
Vulnerability | ||
|
2023-09-29 14:15:11 | CVE-2023-5263 (lien direct) | Une vulnérabilité a été trouvée dans ZZZCMS 2.1.7 et classée comme critique.Ce problème est la restauration de la fonction du fichier /admin/save.php du gestionnaire de fichiers de sauvegarde de la base de données des composants.La manipulation entraîne des problèmes d'autorisation.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-240872.
A vulnerability was found in ZZZCMS 2.1.7 and classified as critical. Affected by this issue is the function restore of the file /admin/save.php of the component Database Backup File Handler. The manipulation leads to permission issues. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-240872. |
Vulnerability | ||
|
2023-09-29 14:15:11 | CVE-2023-5289 (lien direct) | Attribution des ressources sans limites ou étranglement dans le référentiel GitHub IKUS060 / RdiffWeb avant 2.8.4.
Allocation of Resources Without Limits or Throttling in GitHub repository ikus060/rdiffweb prior to 2.8.4. |
|||
|
2023-09-29 14:15:10 | CVE-2023-39308 (lien direct) | Unauth.Vulnérabilité de script de script (XSS) stockée dans le plugin de rétroaction de l'équipe UserFeedBack | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41662 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin ULF Benjaminsson WP-Dtree | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41687 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin de catalogue de marchandises Irina Sokolovskaya | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41655 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Andreas Heigl Authldap | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41661 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans PressPage Entertainment Inc. Smarty pour le plugin WordPress | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41658 (lien direct) | Unauth.Vulnérabilité réfléchie des scripts croisés (XSS) dans I Treize web solution Galerie de photos Galerie de galerie & amp;Plugin de galerie de maçonnerie TILED | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41666 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le plugin Stockdio Stock Quotes List | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41663 (lien direct) | Unauth.Vulnérabilité des scripts cross-sites réfléchis (XSS) dans Giovambattista Fazioli WP Bannerize Pro Plugin | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41657 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Hollerbox de Groundhogg Inc. | Vulnerability | ||
|
2023-09-29 14:15:10 | CVE-2023-41691 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin Pensopay Pensopay WooCommerce | Vulnerability | ||
|
2023-09-29 13:15:10 | CVE-2023-43944 (lien direct) | Une vulnérabilité de script de script de site transversale stockée (XSS) a été trouvée dans le système de gestion des tâches Sourcecodeter 1.0.Il permet aux attaquants d'exécuter du code arbitraire via le champ de paramètres dans index.php? Page = project_list.
A Stored Cross Site Scripting (XSS) vulnerability was found in SourceCodester Task Management System 1.0. It allows attackers to execute arbitrary code via parameter field in index.php?page=project_list. |
Vulnerability | ||
|
2023-09-29 13:15:10 | CVE-2023-43909 (lien direct) | Le système de gestion des hôpitaux à travers la validation 4770D a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre App_Contact dans AppSearch.php.
Hospital Management System thru commit 4770d was discovered to contain a SQL injection vulnerability via the app_contact parameter in appsearch.php. |
Vulnerability | ||
|
2023-09-29 12:15:13 | CVE-2023-5261 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Tongda OA 2017. Le affecté est une fonction inconnue du fichier général / hr / manage / staff_title_evaluation / delete.php.La manipulation de l'argument Evaluation_ID conduit à l'injection de SQL.L'exploit a été divulgué au public et peut être utilisé.La mise à niveau vers la version 11.10 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.VDB-240870 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as critical, was found in Tongda OA 2017. Affected is an unknown function of the file general/hr/manage/staff_title_evaluation/delete.php. The manipulation of the argument EVALUATION_ID leads to sql injection. The exploit has been disclosed to the public and may be used. Upgrading to version 11.10 is able to address this issue. It is recommended to upgrade the affected component. VDB-240870 is the identifier assigned to this vulnerability. |
|||
|
2023-09-29 12:15:13 | CVE-2023-5288 (lien direct) | Un attaquant non autorisé à distance peut se connecter au SIM1012, interagir avec l'appareil et
modifier les paramètres de configuration.L'adversaire peut également réinitialiser la SIM et dans le pire des cas, téléchargez un
Nouvelle version du firmware sur l'appareil.
A remote unauthorized attacker may connect to the SIM1012, interact with the device and change configuration settings. The adversary may also reset the SIM and in the worst case upload a new firmware version to the device. |
|||
|
2023-09-29 12:15:13 | CVE-2023-5259 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans le FOU CMS.Cette vulnérabilité affecte le code inconnu du fichier /admin/cms_admin.php.La manipulation de l'argument Del mène au déni de service.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.Ce produit utilise une version roulante pour fournir une livraison continue.Par conséquent, aucun détail de version pour les versions affectées ni mise à jour n'est disponible.L'identifiant de cette vulnérabilité est VDB-240868.
A vulnerability classified as problematic was found in ForU CMS. This vulnerability affects unknown code of the file /admin/cms_admin.php. The manipulation of the argument del leads to denial of service. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. This product is using a rolling release to provide continious delivery. Therefore, no version details for affected nor updated releases are available. The identifier of this vulnerability is VDB-240868. |
Vulnerability | ||
|
2023-09-29 12:15:13 | CVE-2023-5258 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans OpenRapid RapidCMS 1.3.1.Cela affecte une partie inconnue du fichier /Resource/addgood.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-240867.
A vulnerability classified as critical has been found in OpenRapid RapidCMS 1.3.1. This affects an unknown part of the file /resource/addgood.php. The manipulation of the argument id leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-240867. |
Vulnerability | ||
|
2023-09-29 12:15:13 | CVE-2023-5260 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans Sourcecodeter Simple Adhip System 1.0.Ce problème affecte un traitement inconnu du fichier groupe_validator.php.La manipulation de l'argument Club_ID conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-240869 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as critical, has been found in SourceCodester Simple Membership System 1.0. This issue affects some unknown processing of the file group_validator.php. The manipulation of the argument club_id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-240869 was assigned to this vulnerability. |
|||
|
2023-09-29 11:15:41 | CVE-2023-5257 (lien direct) | Une vulnérabilité a été trouvée dans Whitehsbg Jndiexploit 1.4 sur Windows.Il a été considéré comme problématique.Ce problème est la fonction HandleFileRequest du fichier src / main / java / com / feihong / ldap / httpserver.java.La manipulation conduit à une traversée de chemin.L'exploit a été divulgué au public et peut être utilisé.VDB-240866 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in WhiteHSBG JNDIExploit 1.4 on Windows. It has been rated as problematic. Affected by this issue is the function handleFileRequest of the file src/main/java/com/feihong/ldap/HTTPServer.java. The manipulation leads to path traversal. The exploit has been disclosed to the public and may be used. VDB-240866 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-29 10:15:10 | CVE-2023-5159 (lien direct) | Matter Most ne parvient pas à vérifier correctement les autorisations lors de la gestion / mise à jour d'un bot permettant A & acirc; & nbsp; le rôle de gestionnaire d'utilisateurs avec les autorisations d'édition utilisateur pour gérer / mettre à jour les robots.
Mattermost fails to properly verify the permissions when managing/updating a bot allowing a User Manager role with user edit permissions to manage/update bots. |
|||
|
2023-09-29 10:15:10 | CVE-2023-5194 (lien direct) | La matière la plupart ne valide pas correctement les autorisations lors de la démot et de la désactivation d'un utilisateur permettant à A & acirc; & nbsp; Système / Utilising Manager pour rétrograder / désactiver un autre gestionnaire
Mattermost fails to properly validate permissions when demoting and deactivating a user allowing for a system/user manager to demote / deactivate another manager |
|||
|
2023-09-29 10:15:10 | CVE-2023-5196 (lien direct) | La matière ne parvient pas à appliquer les limites de caractères dans tous les accessoires de notification possibles permettant à un attaquant de & acirc; & nbsp; envoyer une valeur très longue pour une notification_prop, ce qui a permis au serveur de consommer une quantité anormale de ressources informatiques et peut-être de devenir temporairement indisponible pour ses utilisateurs.
Mattermost fails to enforce character limits in all possible notification props allowing an attacker to send a really long value for a notification_prop resulting in the server consuming an abnormal quantity of computing resources and possibly becoming temporarily unavailable for its users. |
|||
|
2023-09-29 10:15:10 | CVE-2023-5195 (lien direct) | La matière ne parvient pas à valider correctement les autorisations lors de la suppression de douceur d'une équipe permettant à un membre de l'équipe de supprimer en douce
Mattermost fails to properly validate the permissions when soft deleting a team allowing a team member to soft delete other teams that they are not part of |
|||
|
2023-09-29 10:15:10 | CVE-2023-5193 (lien direct) | La matière ne parvient pas à vérifier correctement les autorisations lors de la récupération d'un message permettant & acirc; & nbsp; un rôle système avec l'autorisation de gérer les canaux pour lire les articles d'une conversation DM.
Mattermost fails to properly check permissions when retrieving a post allowing for a System Role with the permission to manage channels to read the posts of a DM conversation. |
|||
|
2023-09-29 09:15:10 | CVE-2023-3413 (lien direct) | Un problème a été découvert dans GitLab affectant toutes les versions à partir de 16.2 avant 16.2.8, toutes les versions à partir de 16.3 avant 16.3.5, toutes les versions à partir de 16.4 avant 16.4.1.Il a été possible de lire le code source d'un projet via une fourche créée avant de modifier la visibilité aux membres du projet.
An issue has been discovered in GitLab affecting all versions starting from 16.2 before 16.2.8, all versions starting from 16.3 before 16.3.5, all versions starting from 16.4 before 16.4.1. It was possible to read the source code of a project through a fork created before changing visibility to only project members. |
|||
|
2023-09-29 08:15:09 | CVE-2023-3922 (lien direct) | Un problème a été découvert dans Gitlab affectant toutes les versions à partir de 8.15 avant 16.2.8, toutes les versions à partir de 16.3 avant 16.3.5, toutes les versions à partir de 16.4 avant 16.4.1.Il a été possible de détourner certains liens et boutons sur l'interface utilisateur de Gitlab à une page malveillante.
An issue has been discovered in GitLab affecting all versions starting from 8.15 before 16.2.8, all versions starting from 16.3 before 16.3.5, all versions starting from 16.4 before 16.4.1. It was possible to hijack some links and buttons on the GitLab UI to a malicious page. |
|||
|
2023-09-29 08:15:09 | CVE-2023-32477 (lien direct) | Dell Common Event Adableur 8.9.8.2 pour Windows et Prior, contiennent une vulnérabilité de contrôle d'accès incorrect.Un utilisateur malveillant local peu privilégié peut potentiellement exploiter cette vulnérabilité pour gagner des privilèges élevés.
Dell Common Event Enabler 8.9.8.2 for Windows and prior, contain an improper access control vulnerability. A local low-privileged malicious user may potentially exploit this vulnerability to gain elevated privileges. |
Vulnerability | ||
|
2023-09-29 08:15:09 | CVE-2023-5198 (lien direct) | Un problème a été découvert dans GitLab affectant toutes les versions avant 16.2.7, toutes les versions à partir de 16.3 avant 16.3.5 et toutes les versions à partir de 16.4 avant 16.4.1.Il a été possible pour un membre supprimé du projet d'écrire aux succursales protégées à l'aide de clés de déploiement.
An issue has been discovered in GitLab affecting all versions prior to 16.2.7, all versions starting from 16.3 before 16.3.5, and all versions starting from 16.4 before 16.4.1. It was possible for a removed project member to write to protected branches using deploy keys. |
|||
|
2023-09-29 07:15:14 | CVE-2023-44469 (lien direct) | Un problème de contrefaçon de demande côté serveur dans l'émetteur OpenID Connect dans Lemonldap :: Ng avant 2.17.1 permet aux attaquants distants authentifiés d'envoyer des demandes de GET aux URL arbitraires via le paramètre d'autorisation de demande_uri.Ceci est similaire à CVE-2010-10770.
A Server-Side Request Forgery issue in the OpenID Connect Issuer in LemonLDAP::NG before 2.17.1 allows authenticated remote attackers to send GET requests to arbitrary URLs through the request_uri authorization parameter. This is similar to CVE-2020-10770. |
|||
|
2023-09-29 07:15:14 | CVE-2023-4532 (lien direct) | Un problème a été découvert dans GitLab affectant toutes les versions à partir de 16.2 avant 16.2.8, toutes les versions à partir de 16.3 avant 16.3.5, toutes les versions à partir de 16.4 avant 16.4.1.Les utilisateurs étaient capables de lier les travaux CI / CD de projets privés dont ils ne sont pas membre.
An issue has been discovered in GitLab affecting all versions starting from 16.2 before 16.2.8, all versions starting from 16.3 before 16.3.5, all versions starting from 16.4 before 16.4.1. Users were capable of linking CI/CD jobs of private projects which they are not a member of. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3979 (lien direct) | Un problème a été découvert dans GitLab affectant toutes les versions à partir de 10.6 avant 16.2.8, toutes les versions à partir de 16.3 avant 16.3.5, toutes les versions à partir de 16.4 avant 16.4.1.Il était possible que les membres en amont de collaborer avec vous sur votre succursale obtiennent la permission d'écrire à la succursale de la source de la demande de fusion et de l'ACIRC; & Euro;
An issue has been discovered in GitLab affecting all versions starting from 10.6 before 16.2.8, all versions starting from 16.3 before 16.3.5, all versions starting from 16.4 before 16.4.1. It was possible that upstream members to collaborate with you on your branch get permission to write to the merge request’s source branch. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3914 (lien direct) | Une erreur de logique métier dans Gitlab EE affectant toutes les versions avant 16.2.8, 16.3 avant 16.3.5 et 16.4 avant 16.4.1 permet d'accéder à des projets internes.Un compte de service n'est pas supprimé lorsqu'un espace de noms est supprimé, permettant l'accès aux projets internes.
A business logic error in GitLab EE affecting all versions prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1 allows access to internal projects. A service account is not deleted when a namespace is deleted, allowing access to internal projects. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3115 (lien direct) | Un problème a été découvert dans Gitlab EE affectant toutes les versions affectant toutes les versions de 11.11 avant 16.2.8, 16.3 avant 16.3.5 et 16.4 avant 16.4.1.Un seul signe des restrictions n'a pas été correctement appliqué pour les membres indirects du projet accédant aux référentiels du projet réservé aux membres publics.
An issue has been discovered in GitLab EE affecting all versions affecting all versions from 11.11 prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1. Single Sign On restrictions were not correctly enforced for indirect project members accessing public members-only project repositories. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3906 (lien direct) | Un problème de validation des entrées dans le proxy d'actifs en Gitlab EE, affectant toutes les versions de 12.3 avant 16.2.8, 16.3 avant 16.3.5 et 16.4 avant 16.4.1, a permis à un attaquant authentifié de créer des URL d'image qui contournent l'actifProcuration.
An input validation issue in the asset proxy in GitLab EE, affecting all versions from 12.3 prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1, allowed an authenticated attacker to craft image urls which bypass the asset proxy. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3917 (lien direct) | Le déni de service dans les pipelines affectant toutes les versions de Gitlab EE et CE avant 16.2.8, 16.3 avant 16.3.5 et 16.4 avant 16.4.1 permettant à l'attaquant de faire échouer les pipelines.
Denial of Service in pipelines affecting all versions of Gitlab EE and CE prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1 allows attacker to cause pipelines to fail. |
|||
|
2023-09-29 07:15:13 | CVE-2023-3920 (lien direct) | Un problème a été découvert dans GitLab affectant toutes les versions à partir de 11.2 avant 16.2.8, toutes les versions à partir de 16.3 avant 16.3.5, toutes les versions à partir de 16.4 avant 16.4.1.Il était possible qu'un mainteneur de créer une relation de fourche entre les projets existants contrairement à la documentation.
An issue has been discovered in GitLab affecting all versions starting from 11.2 before 16.2.8, all versions starting from 16.3 before 16.3.5, all versions starting from 16.4 before 16.4.1. It was possible that a maintainer to create a fork relationship between existing projects contrary to the documentation. |
|||
|
2023-09-29 07:15:12 | CVE-2023-0989 (lien direct) | Un problème de divulgation d'informations dans Gitlab CE / EE affectant toutes les versions avant 16.2.8, 16.3 avant 16.3.5 et 16.4 avant 16.4.1 permet à un attaquant d'extraire les variables CI / CD non protégées en trompant un utilisateur à visiterUne fourche avec une configuration CI / CD malveillante.
An information disclosure issue in GitLab CE/EE affecting all versions prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1 allows an attacker to extract non-protected CI/CD variables by tricking a user to visit a fork with a malicious CI/CD configuration. |
|||
|
2023-09-29 07:15:12 | CVE-2023-2233 (lien direct) | Un problème d'autorisation inapproprié a été découvert dans Gitlab CE / EE affectant toutes les versions à partir de 11.8 avant 16.2.8, toutes les versions à partir du 16.3 avant 16.3.5 et toutes les versions à partir du 16.4 avant 16.4.1.Il permet à un journaliste de projet de fuir les projets d'instance Sentry du propriétaire.
An improper authorization issue has been discovered in GitLab CE/EE affecting all versions starting from 11.8 before 16.2.8, all versions starting from 16.3 before 16.3.5 and all versions starting from 16.4 before 16.4.1. It allows a project reporter to leak the owner\'s Sentry instance projects. |
|||
|
2023-09-29 06:15:11 | CVE-2023-44466 (lien direct) | Un problème a été découvert dans net / ceph / messager_v2.c dans le noyau Linux avant 6.4.5.Il y a une erreur de signature entière, conduisant à un débordement de tampon et à une exécution de code distant via Hello ou l'une des trames Auth.Cela se produit en raison d'une longueur non fiable tirée d'un paquet TCP dans CEPH_DECODE_32.
An issue was discovered in net/ceph/messenger_v2.c in the Linux kernel before 6.4.5. There is an integer signedness error, leading to a buffer overflow and remote code execution via HELLO or one of the AUTH frames. This occurs because of an untrusted length taken from a TCP packet in ceph_decode_32. |
|||
|
2023-09-29 06:15:09 | CVE-2023-30591 (lien direct) | Le déni de service dans NodeBB | |||
|
2023-09-29 05:15:46 | CVE-2023-26146 (lien direct) | Toutes les versions du package ithewei / libhv sont vulnérables aux scripts croisés (XSS) de sorte que lorsqu'un fichier avec un nom contenant une charge utile malveillante est servi par la demande, le nom de fichier est affiché sans désinfection appropriée lorsqu'il est rendu.
All versions of the package ithewei/libhv are vulnerable to Cross-site Scripting (XSS) such that when a file with a name containing a malicious payload is served by the application, the filename is displayed without proper sanitization when it is rendered. |
|||
|
2023-09-29 05:15:46 | CVE-2023-26148 (lien direct) | Toutes les versions du package ithewei / libhv sont vulnérables à l'injection de CRLF lorsque l'entrée utilisateur non fiable est utilisée pour définir les en-têtes de demande.Un attaquant peut ajouter les caractères de la ligne de retour \ r \ n (transport de chariot) et injecter des en-têtes supplémentaires dans la demande envoyée.
All versions of the package ithewei/libhv are vulnerable to CRLF Injection when untrusted user input is used to set request headers. An attacker can add the \r\n (carriage return line feeds) characters and inject additional headers in the request sent. |
|||
|
2023-09-29 05:15:46 | CVE-2023-44464 (lien direct) | Pretix avant 2023.7.2 permet à l'oreiller d'analyser les fichiers EPS.
pretix before 2023.7.2 allows Pillow to parse EPS files. |
To see everything:
Our RSS (filtrered)
