What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-15 09:15:08 | CVE-2023-4662 (lien direct) | L'exécution avec une vulnérabilité des privilèges inutile dans Saphira Saphira Connect permet l'inclusion de code distant. Ce problème affecte Saphira Connect: avant 9e.
Execution with Unnecessary Privileges vulnerability in Saphira Saphira Connect allows Remote Code Inclusion.This issue affects Saphira Connect: before 9. |
Vulnerability | ||
|
2023-09-15 09:15:08 | CVE-2023-4835 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans le logiciel CF Le logiciel de gestion de l'huile permet l'injection de SQL. Ce problème affecte le logiciel de gestion du pétrole: avant 20230912.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in CF Software Oil Management Software allows SQL Injection.This issue affects Oil Management Software: before 20230912 . |
Vulnerability | ||
|
2023-09-15 09:15:08 | CVE-2023-4664 (lien direct) | La vulnérabilité des autorisations par défaut incorrectes dans Saphira Saphira Connect permet une escalade de privilège. Ce problème affecte Saphira Connect: avant 9.
Incorrect Default Permissions vulnerability in Saphira Saphira Connect allows Privilege Escalation.This issue affects Saphira Connect: before 9. |
Vulnerability | ||
|
2023-09-15 09:15:07 | CVE-2023-4661 (lien direct) | La neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL injection \') dans Saphira Saphira Connect permet d'injection SQL. Ce problème affecte Saphira Connect: avant 9e.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Saphira Saphira Connect allows SQL Injection.This issue affects Saphira Connect: before 9. |
Vulnerability | ||
|
2023-09-15 08:15:08 | CVE-2023-4831 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL injection \') dans le NCODE NCEP permet l'injection de SQL.Ce problème affecte NCEP: avant 20230914.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Ncode Ncep allows SQL Injection.This issue affects Ncep: before 20230914 . |
Vulnerability | ||
|
2023-09-15 08:15:08 | CVE-2023-4670 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans les probbys innosa permet d'injection SQL.Ce problème affecte les problèmes: avant 2.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Innosa Probbys allows SQL Injection.This issue affects Probbys: before 2. |
Vulnerability | ||
|
2023-09-15 08:15:07 | CVE-2023-4231 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL Injection \') dans le système de paiement en ligne de Cevik Informatique permet d'injection SQL. Ce problème affecte le système de paiement en ligne: avant 4.09.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Cevik Informatics Online Payment System allows SQL Injection.This issue affects Online Payment System: before 4.09. |
Vulnerability | ||
|
2023-09-15 07:15:09 | CVE-2023-32461 (lien direct) | Dell PowerEdge BIOS et Dell Precision BIOS contiennent une vulnérabilité de débordement de tampon.Un utilisateur malveillant local avec des privilèges élevés pourrait potentiellement exploiter cette vulnérabilité, conduisant à une mémoire corrompue et potentiellement dégénérer des privilèges.& Acirc; & nbsp;
Dell PowerEdge BIOS and Dell Precision BIOS contain a buffer overflow vulnerability. A local malicious user with high privileges could potentially exploit this vulnerability, leading to corrupt memory and potentially escalate privileges. Â |
|||
|
2023-09-15 06:15:08 | CVE-2023-4830 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') La vulnérabilité dans Tura SignalIx permet à SQL injection.Ce problème affecte Signalix: 7T_0228.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Tura Signalix allows SQL Injection.This issue affects Signalix: 7T_0228. |
Vulnerability | ||
|
2023-09-15 06:15:08 | CVE-2023-4673 (lien direct) | Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la Sanalogy Turasistan permet l'injection de SQL. Ce problème affecte le Turasistan: avant 20230911.
Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Sanalogy Turasistan allows SQL Injection.This issue affects Turasistan: before 20230911 . |
Vulnerability | ||
|
2023-09-15 06:15:08 | CVE-2023-3378 (lien direct) | ** Rejeter ** Cet ID CVE a été rejeté ou retiré par son autorité de numérotation CVE.
** REJECT ** This CVE ID has been rejected or withdrawn by its CVE Numbering Authority. |
|||
|
2023-09-15 06:15:08 | CVE-2023-36659 (lien direct) | Un problème a été découvert dans le kiosque Opswat Metadefender 4.6.1.9996.Les longues entrées n'ont pas été correctement traitées, ce qui permet aux attaquants distants de provoquer un déni de service (perte de communication).
An issue was discovered in OPSWAT MetaDefender KIOSK 4.6.1.9996. Long inputs were not properly processed, which allows remote attackers to cause a denial of service (loss of communication). |
|||
|
2023-09-15 06:15:07 | CVE-2023-36657 (lien direct) | Un problème a été découvert dans le kiosque Opswat Metadefender 4.6.1.9996.Les fonctionnalités intégrées des fenêtres (raccourcis de bureau, narrateur) peuvent être maltraitées pour une escalade de privilèges.
An issue was discovered in OPSWAT MetaDefender KIOSK 4.6.1.9996. Built-in features of Windows (desktop shortcuts, narrator) can be abused for privilege escalation. |
|||
|
2023-09-15 05:15:24 | CVE-2023-36658 (lien direct) | Un problème a été découvert dans le kiosque Opswat Metadefender 4.6.1.9996.Il a un chemin de service non abonné qui peut être abusé localement.
An issue was discovered in OPSWAT MetaDefender KIOSK 4.6.1.9996. It has an unquoted service path that can be abused locally. |
|||
|
2023-09-15 04:15:10 | CVE-2023-38039 (lien direct) | Lorsque Curl récupère une réponse HTTP, il stocke les en-têtes entrants afin que
Ils sont accessibles plus tard via l'API des en-têtes Libcurl.
Cependant, Curl n'avait pas de limite dans le nombre ou la taille des en-têtes
accepter dans une réponse, permettant à un serveur malveillant de diffuser une série sans fin
des en-têtes et finalement provoquer la manège de la mémoire de tas.
When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory. |
|||
|
2023-09-15 04:15:10 | CVE-2023-40983 (lien direct) | Une vulnérabilité de script inter-site réfléchie (XSS) dans la fonction de gestionnaire de fichiers de Webmin v2.100 permet aux attaquants d'exécuter des scripts malveillants via l'injection d'une charge utile fabriquée dans le fichier de résultats de recherche dans les résultats.
A reflected cross-site scripting (XSS) vulnerability in the File Manager function of Webmin v2.100 allows attackers to execute malicious scripts via injecting a crafted payload into the Find in Results file. |
Vulnerability | ||
|
2023-09-15 03:15:09 | CVE-2023-4963 (lien direct) | Le ws Facebook comme le widget de boîte pour le plugin WordPress pour WordPress est vulnérable aux scripts inter-sites stockés via \\ 'ws-facebook-likebox \' shortcode dans les versions jusqu'à et incluant 5.0 en raison de l'insuffisance de la désinfection des entrées et de la sortie s'échapper sur,Attributs fournis par l'utilisateur.Cela permet aux attaquants authentifiés avec des autorisations au niveau des contributeurs et au-dessus d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The WS Facebook Like Box Widget for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via \'ws-facebook-likebox\' shortcode in versions up to, and including, 5.0 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers with contributor-level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-09-15 03:15:09 | CVE-2023-4974 (lien direct) | Une vulnérabilité a été trouvée dans Academy LMS 6.2.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du fichier / académie / tuteur / filtre du gestionnaire de paramètres Get Component.La manipulation de l'argument Price_min / Price_Max conduit à l'injection SQL.L'attaque peut être lancée à distance.VDB-239750 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Academy LMS 6.2. It has been rated as critical. Affected by this issue is some unknown functionality of the file /academy/tutor/filter of the component GET Parameter Handler. The manipulation of the argument price_min/price_max leads to sql injection. The attack may be launched remotely. VDB-239750 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-15 03:15:09 | CVE-2023-40982 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans Webmin v2.100 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de nom de module cloné.
A stored cross-site scripting (XSS) vulnerability in Webmin v2.100 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the cloned module name parameter. |
Vulnerability | ||
|
2023-09-15 03:15:08 | CVE-2023-3891 (lien direct) | L'état de course dans LAPCE V0.2.8 permet à un attaquant d'élever les privilèges sur le système
Race condition in Lapce v0.2.8 allows an attacker to elevate privileges on the system |
|||
|
2023-09-15 03:15:07 | CVE-2022-20917 (lien direct) | Une vulnérabilité dans la fonction de traitement des messages de messagerie et de présence extensible (XMPP) de Cisco Jabber pourrait permettre à un attaquant distant authentifié de manipuler le contenu des messages XMPP qui sont utilisés par l'application affectée.
Cette vulnérabilité est due à la manipulation incorrecte des messages XMPP imbriqués dans les demandes envoyées au logiciel Cisco Jabber Client.Un attaquant pourrait exploiter cette vulnérabilité en se connectant à un serveur de messagerie XMPP et en envoyant des messages XMPP fabriqués à un client Jabber affecté.Un exploit réussi pourrait permettre à l'attaquant de manipuler le contenu des messages XMPP, permettant éventuellement à l'attaquant de faire en sorte que l'application client Jabber effectue des actions dangereuses.
A vulnerability in the Extensible Messaging and Presence Protocol (XMPP) message processing feature of Cisco Jabber could allow an authenticated, remote attacker to manipulate the content of XMPP messages that are used by the affected application. This vulnerability is due to the improper handling of nested XMPP messages within requests that are sent to the Cisco Jabber client software. An attacker could exploit this vulnerability by connecting to an XMPP messaging server and sending crafted XMPP messages to an affected Jabber client. A successful exploit could allow the attacker to manipulate the content of XMPP messages, possibly allowing the attacker to cause the Jabber client application to perform unsafe actions. |
Vulnerability | ||
|
2023-09-15 02:15:08 | CVE-2023-4973 (lien direct) | Une vulnérabilité a été trouvée dans Academy LMS 6.2 sur Windows.Il a été déclaré problématique.Cette vulnérabilité est une fonctionnalité inconnue du fichier / académie / tuteur / filtre du composant Get Paramet Handler.La manipulation de l'argument fouillé_word / fouilled_tution_class_type [] / fouilled_price_type [] / fouilled_duration [] conduit au script du site croisé.L'attaque peut être lancée à distance.L'identifiant VDB-239749 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Academy LMS 6.2 on Windows. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file /academy/tutor/filter of the component GET Parameter Handler. The manipulation of the argument searched_word/searched_tution_class_type[]/searched_price_type[]/searched_duration[] leads to cross site scripting. The attack can be launched remotely. The identifier VDB-239749 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-15 01:15:08 | CVE-2023-4980 (lien direct) | Scripting Cross-Site (XSS) - Générique dans GitHub Repository Liberenms / Liberenms avant 23.9.0.
Cross-site Scripting (XSS) - Generic in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:08 | CVE-2023-4979 (lien direct) | Scripting inter-site (XSS) - reflété dans le référentiel GitHub Liberenms / Liberenms avant 23.9.0.
Cross-site Scripting (XSS) - Reflected in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:08 | CVE-2023-4981 (lien direct) | Scripting Cross-Site (XSS) - Dom dans GitHub Repository Liberenms / Liberenms avant 23.9.0.
Cross-site Scripting (XSS) - DOM in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:08 | CVE-2023-4982 (lien direct) | Scripting Cross-Site (XSS) - stocké dans GitHub Repository Liberenms / Liberenms avant 23.9.0.
Cross-site Scripting (XSS) - Stored in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:08 | CVE-2023-4977 (lien direct) | Injection de code dans GitHub Repository Liberenms / Liberenms Avant 23.9.0.
Code Injection in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:08 | CVE-2023-4978 (lien direct) | Scripting Cross-Site (XSS) - Dom dans GitHub Repository Liberenms / Liberenms avant 23.9.0.
Cross-site Scripting (XSS) - DOM in GitHub repository librenms/librenms prior to 23.9.0. |
|||
|
2023-09-15 01:15:07 | CVE-2023-39643 (lien direct) | Les modules BL XMLFeeds avant la V3.9.8 ont été découverts contenant une vulnérabilité d'injection SQL via le composant SearchAPIXML :: xmlFeeds ().
Bl Modules xmlfeeds before v3.9.8 was discovered to contain a SQL injection vulnerability via the component SearchApiXml::Xmlfeeds(). |
Vulnerability | ||
|
2023-09-15 01:15:07 | CVE-2023-40984 (lien direct) | Une vulnérabilité reflétée de scripts inter-sites (XSS) dans la fonction de gestionnaire de fichiers de Webmin v2.100 permet aux attaquants d'exécuter des scripts malveillants via l'injection d'une charge utile fabriquée dans le fichier de résultats Remplacer dans les résultats.
A reflected cross-site scripting (XSS) vulnerability in the File Manager function of Webmin v2.100 allows attackers to execute malicious scripts via injecting a crafted payload into the Replace in Results file. |
Vulnerability | ||
|
2023-09-15 01:15:07 | CVE-2023-40985 (lien direct) | Un problème a été découvert dans Webmin 2.100.La fonctionnalité de gestionnaire de fichiers permet à un attaquant d'exploiter une vulnérabilité de script de sites croisées (XSS).En fournissant une charge utile malveillante, un attaquant peut injecter du code arbitraire, qui est ensuite exécuté dans le contexte du navigateur de la victime \\ lorsqu'au fichier est recherché / remplacé.
An issue was discovered in Webmin 2.100. The File Manager functionality allows an attacker to exploit a Cross-Site Scripting (XSS) vulnerability. By providing a malicious payload, an attacker can inject arbitrary code, which is then executed within the context of the victim\'s browser when any file is searched/replaced. |
|||
|
2023-09-15 01:15:07 | CVE-2023-40986 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans la fonction de configuration de l'Usermin de Webmin v2.100 permet aux attaquants d'exécuter des sripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le champ personnalisé.
A stored cross-site scripting (XSS) vulnerability in the Usermin Configuration function of Webmin v2.100 allows attackers to execute arbitrary web sripts or HTML via a crafted payload injected into the Custom field. |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-4680 (lien direct) | Le moteur Hashicorp Vault et Vault Enterprise Transit Secrets a permis aux utilisateurs autorisés de spécifier des nonces arbitraires, même avec un chiffrement convergent désactivé.Le point de terminaison ECRYPT, en combinaison avec une attaque hors ligne, pourrait être utilisé pour décrypter un texte chiffré arbitraire et potentiellement dériver la sous-clé d'authentification lors de l'utilisation du moteur de secrets de transit sans cryptage convergent.Introduit en 1.6.0 et fixé en 1.14.3, 1.13.7 et 1.12.11.
HashiCorp Vault and Vault Enterprise transit secrets engine allowed authorized users to specify arbitrary nonces, even with convergent encryption disabled. The encrypt endpoint, in combination with an offline attack, could be used to decrypt arbitrary ciphertext and potentially derive the authentication subkey when using transit secrets engine without convergent encryption. Introduced in 1.6.0 and fixed in 1.14.3, 1.13.7, and 1.12.11. |
|||
|
2023-09-15 00:15:07 | CVE-2023-40958 (lien direct) | Une vulnérabilité d'injection SQL dans Didotech SRL Engineering & amp;LifeCycle Management (AKA PDM) V.14.0, V.15.0 et V.16.0 Correction dans PDM-4.0.1.0.0, PDM-55.0.1.0.0 et PDM-16.0.1.0.0 permet à un attaquant authentifié distant de s'exécuter à exécuterCode arbitraire via le paramètre de requête dans Models / Base_Client.py Component.
A SQL injection vulnerability in Didotech srl Engineering & Lifecycle Management (aka pdm) v.14.0, v.15.0 and v.16.0 fixed in pdm-14.0.1.0.0, pdm-15.0.1.0.0, and pdm-16.0.1.0.0 allows a remote authenticated attacker to execute arbitrary code via the query parameter in models/base_client.py component. |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-40956 (lien direct) | Une vulnérabilité d'injection SQL dans la recherche de travail sur le site Web de Cloudoits V.15.0 permet à un attaquant authentifié distant d'exécuter du code arbitraire via le paramètre de nom dans Controllers / Main.py composant.
A SQL injection vulnerability in Cloudroits Website Job Search v.15.0 allows a remote authenticated attacker to execute arbitrary code via the name parameter in controllers/main.py component. |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-39642 (lien direct) | CARTS GURU CARTSGURU Jusqu'à V2.4.2 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le composant CartsGurucatalogmoduleFrontController :: Display ().
Carts Guru cartsguru up to v2.4.2 was discovered to contain a SQL injection vulnerability via the component CartsGuruCatalogModuleFrontController::display(). |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-39639 (lien direct) | Leotheme Leoblog jusqu'à V3.1.2 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le composant Leoblogblog :: GetListBlogs.
LeoTheme leoblog up to v3.1.2 was discovered to contain a SQL injection vulnerability via the component LeoBlogBlog::getListBlogs. |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-40955 (lien direct) | Une vulnérabilité d'injection SQL dans Didotech SRL Engineering & amp;LifeCycle Management (AKA PDM) V.14.0, V.15.0 et V.16.0 Fixé dans PDM-14.0.1.0.0, PDM-55.0.1.0.0 et PDM-16.0.1.0.0 permet à un attaquant authentifié distant de s'exécuter à exécuterCode arbitraire via le paramètre SELECT dans Models / Base_Client.py Component.
A SQL injection vulnerability in Didotech srl Engineering & Lifecycle Management (aka pdm) v.14.0, v.15.0 and v.16.0 fixed in pdm-14.0.1.0.0, pdm-15.0.1.0.0, and pdm-16.0.1.0.0 allows a remote authenticated attacker to execute arbitrary code via the select parameter in models/base_client.py component. |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-39641 (lien direct) | Conception active psaffiliate avant que la v1.9.8 ne contienne une injection SQLVulnérabilité via le composant PsAffiliateGetAffiliateSDetailsModuleFrontController :: initContent ().
Active Design psaffiliate before v1.9.8 was discovered to contain a SQL injection vulnerability via the component PsaffiliateGetaffiliatesdetailsModuleFrontController::initContent(). |
Vulnerability | ||
|
2023-09-15 00:15:07 | CVE-2023-40957 (lien direct) | Une vulnérabilité d'injection SQL dans Didotech SRL Engineering & amp;LifeCycle Management (AKA PDM) V.14.0, V.15.0 et V.16.0 Fixé dans PDM-14.0.1.0.0, PDM-55.0.1.0.0 et PDM-16.0.1.0.0 permet à un attaquant authentifié distant de s'exécuter à exécuterCode arbitraire via le paramètre de demande dans Models / Base_Client.py Component.
A SQL injection vulnerability in Didotech srl Engineering & Lifecycle Management (aka pdm) v.14.0, v.15.0 and v.16.0 fixed in pdm-14.0.1.0.0, pdm-15.0.1.0.0, and pdm-16.0.1.0.0 allows a remote authenticated attacker to execute arbitrary code via the request parameter in models/base_client.py component. |
Vulnerability | ||
|
2023-09-14 23:15:08 | CVE-2023-42405 (lien direct) | La vulnérabilité de l'injection SQL dans FIT2Cloud Rackshift V1.7.1 permet aux attaquants d'exécuter du code arbitraire via le paramètre `Tri` à taskService.list (), BaremetalService.List () et SwitchService.List ().
SQL injection vulnerability in FIT2CLOUD RackShift v1.7.1 allows attackers to execute arbitrary code via the `sort` parameter to taskService.list(), bareMetalService.list(), and switchService.list(). |
Vulnerability | ||
|
2023-09-14 23:15:08 | CVE-2023-41592 (lien direct) | L'éditeur de Froala V4.0.1 à V4.1.1 a été découvert qu'il contenait une vulnérabilité de script de sites croisées (XSS).
Froala Editor v4.0.1 to v4.1.1 was discovered to contain a cross-site scripting (XSS) vulnerability. |
|||
|
2023-09-14 23:15:07 | CVE-2023-38891 (lien direct) | La vulnérabilité de l'injection SQL dans Vtiger CRM v.7.5.0 permet à un attaquant authentifié distant de dégénérer les privilèges via la fonction GetQueryColumnsList dans reportrun.php.
SQL injection vulnerability in Vtiger CRM v.7.5.0 allows a remote authenticated attacker to escalate privileges via the getQueryColumnsList function in ReportRun.php. |
Vulnerability | ||
|
2023-09-14 22:15:08 | CVE-2023-39638 (lien direct) | D-Link Dir-859 A1 1.05 et A1 1.06B01 Beta01 a été découvert qu'il contenait une vulnérabilité d'injection de commande via la fonction LXMLDBC_SYSTEM AT / HTDOCS / CGIBIN.
D-LINK DIR-859 A1 1.05 and A1 1.06B01 Beta01 was discovered to contain a command injection vulnerability via the lxmldbc_system function at /htdocs/cgibin. |
Vulnerability | ||
|
2023-09-14 22:15:08 | CVE-2023-40868 (lien direct) | La vulnérabilité de contrefaçon de demande de site croisé dans le logiciel Moosocial Moosocial V.Demo permet à un attaquant distant d'exécuter du code arbitraire via le compte Delete et de désactiver les fonctions.
Cross Site Request Forgery vulnerability in mooSocial MooSocial Software v.Demo allows a remote attacker to execute arbitrary code via the Delete Account and Deactivate functions. |
Vulnerability | ||
|
2023-09-14 22:15:08 | CVE-2023-40869 (lien direct) | La vulnérabilité de script du site croisé dans le logiciel Moosocial Moosocial 3.1.6 et 3.1.7 permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué aux fonctions Edit_menu, Copuon et Group_Categorias.
Cross Site Scripting vulnerability in mooSocial mooSocial Software 3.1.6 and 3.1.7 allows a remote attacker to execute arbitrary code via a crafted script to the edit_menu, copuon, and group_categorias functions. |
Vulnerability | ||
|
2023-09-14 22:15:07 | CVE-2022-47631 (lien direct) | Razer Synapse via le 3.7.1209.121307 permet une escalade de privilège en raison d'un chemin d'installation dangereux et d'une mauvaise gestion des privilèges.Les attaquants peuvent placer des DLL dans% ProgramData% \ Razer \ Synapse3 \ Service \ bin s'ils le font avant l'installation du service et s'ils nient l'accès en écriture pour l'utilisateur du système.Bien que le service ne commence pas s'il détecte les DLL malveillantes dans ce répertoire, les attaquants peuvent exploiter une condition de course et remplacer une DLL valide (c'est-à-dire une copie d'une DLL Razer légitime) par une DLL malveillante après que le service ait déjà vérifié le fichier.En conséquence, les utilisateurs de Windows locaux peuvent abuser du programme d'installation du pilote Razer pour obtenir des privilèges administratifs sur Windows.
Razer Synapse through 3.7.1209.121307 allows privilege escalation due to an unsafe installation path and improper privilege management. Attackers can place DLLs into %PROGRAMDATA%\Razer\Synapse3\Service\bin if they do so before the service is installed and if they deny write access for the SYSTEM user. Although the service will not start if it detects malicious DLLs in this directory, attackers can exploit a race condition and replace a valid DLL (i.e., a copy of a legitimate Razer DLL) with a malicious DLL after the service has already checked the file. As a result, local Windows users can abuse the Razer driver installer to obtain administrative privileges on Windows. |
|||
|
2023-09-14 21:15:10 | CVE-2023-42362 (lien direct) | Une vulnérabilité de téléchargement de fichiers arbitraires dans l'application Web de Teller V.4.4.0 permet à un attaquant distant d'exécuter des commandes arbitraires et d'obtenir des informations sensibles via le téléchargement d'un fichier fabriqué.
An arbitrary file upload vulnerability in Teller Web App v.4.4.0 allows a remote attacker to execute arbitrary commands and obtain sensitive information via uploading a crafted file. |
Vulnerability | ||
|
2023-09-14 21:15:10 | CVE-2023-25584 (lien direct) | Une faille de lecture hors limites a été trouvée dans la fonction parse_module dans BFD / VMS-alpha.c en binutils.
An out-of-bounds read flaw was found in the parse_module function in bfd/vms-alpha.c in Binutils. |
|||
|
2023-09-14 21:15:10 | CVE-2023-41160 (lien direct) | Une vulnérabilité de script inter-site stockée (XSS) dans l'onglet Configuration SSH dans Usermin 2.001 permet aux attaquants distants d'injecter un script Web arbitraire ou un HTML via le champ Nom de clé tout en ajoutant une clé autorisée.
A Stored Cross-Site Scripting (XSS) vulnerability in the SSH configuration tab in Usermin 2.001 allows remote attackers to inject arbitrary web script or HTML via the key name field while adding an authorized key. |
Vulnerability |
To see everything:
Our RSS (filtrered)
