What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-05 00:15:07 | CVE-2023-35892 (lien direct) | IBM Financial Transaction Manager pour Swift Services 3.2.4 est vulnérable à une attaque XML à injection d'entité externe (XXE) lors du traitement des données XML.Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles ou consommer des ressources de mémoire.IBM X-FORCE ID: 258786.
IBM Financial Transaction Manager for SWIFT Services 3.2.4 is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 258786. |
Vulnerability | ||
|
2023-09-04 23:15:47 | CVE-2023-41058 (lien direct) | Parse Server est un serveur backend open source.Dans les versions affectées, le déclencheur du nuage d'analyse «avant find» n'est pas invoqué dans certaines conditions de «parse.query».Cela peut poser une vulnérabilité pour les déploiements où le déclencheur `avant Find` est utilisé comme couche de sécurité pour modifier la requête entrante.La vulnérabilité a été corrigée en refactorisant le pipeline de requête interne pour une structure de code plus concise et en implémentant un correctif pour s'assurer que le déclencheur `befreFind` est invoqué.Ce correctif a été introduit dans la validation `BE4C7E23C6` et a été inclus dans les versions 6.2.2 et 5.5.5.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau doivent utiliser les couches de sécurité de Parse Server \\ pour gérer les niveaux d'accès avec les autorisations au niveau de la classe et le contrôle d'accès au niveau des objets qui doivent être utilisés au lieu des couches de sécurité personnalisées dans les déclencheurs de code cloud.
Parse Server is an open source backend server. In affected versions the Parse Cloud trigger `beforeFind` is not invoked in certain conditions of `Parse.Query`. This can pose a vulnerability for deployments where the `beforeFind` trigger is used as a security layer to modify the incoming query. The vulnerability has been fixed by refactoring the internal query pipeline for a more concise code structure and implementing a patch to ensure the `beforeFind` trigger is invoked. This fix was introduced in commit `be4c7e23c6` and has been included in releases 6.2.2 and 5.5.5. Users are advised to upgrade. Users unable to upgrade should make use of parse server\'s security layers to manage access levels with Class-Level Permissions and Object-Level Access Control that should be used instead of custom security layers in Cloud Code triggers. |
Vulnerability Cloud | ||
|
2023-09-04 18:15:09 | CVE-2023-41055 (lien direct) | Librey est une fourche de Librex, une vie privée sans cadre et sans javascript concernant le moteur de recherche Meta.Librey est soumis à une vulnérabilité de contrefaçon de demande côté serveur (SSRF) dans les fichiers `moteurs / google / text.php` et` moteurs / cankduckgo / text.php` dans les versions avant commit be59098abd119cda70b15bf3faac596dfd39a744.Cette vulnérabilité permet aux attaquants distants de demander au serveur d'envoyer des demandes de GET HTTP aux cibles arbitraires et de mener des attaques de déni de service (DOS) via le cookie `wikipedia_language`.Les attaquants distants peuvent demander au serveur de télécharger des fichiers volumineux pour réduire les performances du serveur ou même refuser l'accès à partir des utilisateurs légitimes.Ce numéro a été corrigé dans https://github.com/ahwxorg/librey/pull/9.Il est conseillé à Librey, il est conseillé d'utiliser le dernier commit.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
LibreY is a fork of LibreX, a framework-less and javascript-free privacy respecting meta search engine. LibreY is subject to a Server-Side Request Forgery (SSRF) vulnerability in the `engines/google/text.php` and `engines/duckduckgo/text.php` files in versions before commit be59098abd119cda70b15bf3faac596dfd39a744. This vulnerability allows remote attackers to request the server to send HTTP GET requests to arbitrary targets and conduct Denial-of-Service (DoS) attacks via the `wikipedia_language` cookie. Remote attackers can request the server to download large files to reduce the performance of the server or even deny access from legitimate users. This issue has been patched in https://github.com/Ahwxorg/LibreY/pull/9. LibreY hosters are advised to use the latest commit. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-09-04 18:15:08 | CVE-2023-41054 (lien direct) | Librey est une fourche de Librex, une vie privée sans cadre et sans javascript concernant le moteur de recherche Meta.Librey est soumis à une vulnérabilité de contrefaçon de demande côté serveur (SSRF) dans le fichier `image_proxy.php` de librey avant de commettre 8f9b9803f231e2954e5b49987a532d28fe50a627.Cette vulnérabilité permet aux attaquants distants d'utiliser le serveur comme proxy pour envoyer des demandes de GET HTTP à des cibles arbitraires et récupérer des informations dans le réseau interne ou effectuer des attaques de déni de service (DOS) via le paramètre `URL`.Les attaquants distants peuvent utiliser le serveur comme proxy pour envoyer des demandes de GET HTTP et récupérer des informations dans le réseau interne.Les attaquants distants peuvent également demander au serveur de télécharger des fichiers volumineux ou des demandes de chaîne entre plusieurs instances pour réduire les performances du serveur ou même refuser l'accès à partir des utilisateurs légitimes.Ce numéro a été résolu dans https://github.com/ahwxorg/librey/pull/31.Il est conseillé à Librey, il est conseillé d'utiliser le dernier commit.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
LibreY is a fork of LibreX, a framework-less and javascript-free privacy respecting meta search engine. LibreY is subject to a Server-Side Request Forgery (SSRF) vulnerability in the `image_proxy.php` file of LibreY before commit 8f9b9803f231e2954e5b49987a532d28fe50a627. This vulnerability allows remote attackers to use the server as a proxy to send HTTP GET requests to arbitrary targets and retrieve information in the internal network or conduct Denial-of-Service (DoS) attacks via the `url` parameter. Remote attackers can use the server as a proxy to send HTTP GET requests and retrieve information in the internal network. Remote attackers can also request the server to download large files or chain requests among multiple instances to reduce the performance of the server or even deny access from legitimate users. This issue has been addressed in https://github.com/Ahwxorg/LibreY/pull/31. LibreY hosters are advised to use the latest commit. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-09-04 13:15:33 | CVE-2023-3222 (lien direct) | Vulnérabilité dans le plugin de récupération de mot de passe de mot de passe du plugin de récupération de mot de passe pour Roundcube, dans sa version 1.2, qui pourrait permettre à un attaquant distant de modifier un mot de passe utilisateur et acirc;Un attaquant pourrait créer un script automatique pour tester toutes les valeurs possibles car la plate-forme n'a aucune limite au nombre de demandes.
Vulnerability in the password recovery mechanism of Password Recovery plugin for Roundcube, in its 1.2 version, which could allow a remote attacker to change an existing user´s password by adding a 6-digit numeric token. An attacker could create an automatic script to test all possible values because the platform has no limit on the number of requests. |
Vulnerability | ||
|
2023-09-04 13:15:32 | CVE-2023-3221 (lien direct) | Vulnérabilité d'énumération des utilisateurs dans la version du plugin de récupération de mot de passe 1.2 pour Roundcube, qui pourrait permettre à un attaquant distant de créer un script de test contre la fonction de récupération de mot de passe pour énumérer tous les utilisateurs de la base de données.
User enumeration vulnerability in Password Recovery plugin 1.2 version for Roundcube, which could allow a remote attacker to create a test script against the password recovery function to enumerate all users in the database. |
Vulnerability | ||
|
2023-09-04 12:15:10 | CVE-2023-4587 (lien direct) | ** Non pris en charge lorsqu'il est attribué ** Une vulnérabilité IDOR a été trouvée dans le produit ZKTECO ZEM800 affectant la version 6.60.Cette vulnérabilité permet à un attaquant local d'obtenir des fichiers de sauvegarde utilisateur enregistrés ou des fichiers de configuration de périphérique sur un réseau local ou via un serveur VPN.
** UNSUPPPORTED WHEN ASSIGNED ** An IDOR vulnerability has been found in ZKTeco ZEM800 product affecting version 6.60. This vulnerability allows a local attacker to obtain registered user backup files or device configuration files over a local network or through a VPN server. |
Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-32578 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Colonne-Matic Colonne | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-32102 (lien direct) | Auth.(Contributeur +) Vulnérabilité de script inter-sites entre le site transversal (XSS) dans le plugin Viewer de la bibliothèque PEXLE CHRIS | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-32296 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin Kangu Para WooCommerce | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-40214 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans le thème Vathemes Business Pro | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-40197 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de Devaldi Ltd Flowpaper | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-30485 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans Solwin Infotech Responsive WordPress Slider & acirc; & euro; & ldquo;Plugin Avartan Slider Lite | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-40205 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin Pixelgrade PixTypes | Vulnerability | ||
|
2023-09-04 12:15:09 | CVE-2023-40196 (lien direct) | Unauth.La vulnérabilité de script croisé (XSS) réfléchie dans l'imagerecycle Imagerecycle PDF & amp;Plugin de compression d'image | Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-4615 (lien direct) | Cette vulnérabilité permet aux attaquants distants de divulguer des informations sensibles sur les installations affectées de l'assistant LG LG.L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité.Le défaut spécifique existe dans le point de terminaison / API / Download / UpdateFile.Le problème résulte de l'absence de validation appropriée d'un chemin fourni par l'utilisateur avant de l'utiliser dans les opérations de fichiers.Un attaquant peut tirer parti de cette vulnérabilité pour divulguer des informations dans le contexte de l'utilisateur actuel.
This vulnerability allows remote attackers to disclose sensitive information on affected installations of LG LED Assistant. Authentication is not required to exploit this vulnerability. The specific flaw exists within the /api/download/updateFile endpoint. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to disclose information in the context of the current user. |
Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-40206 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans HWK-Fr WP 404 Redirection Auto vers un plugin post similaire | Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-39992 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans Vcita.com Booking & amp;Calendrier de planification pour WordPress par le plugin VCITA | Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-4614 (lien direct) | Cette vulnérabilité permet aux attaquants distants d'exécuter du code arbitraire sur les installations affectées de l'assistant LG LG.L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité.La faille spécifique existe dans le point de terminaison / API / Installer / SetTHumbnailrc.Le problème résulte de l'absence de validation appropriée d'un chemin fourni par l'utilisateur avant de l'utiliser dans les opérations de fichiers.Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte de l'utilisateur actuel.
This vulnerability allows remote attackers to execute arbitrary code on affected installations of LG LED Assistant. Authentication is not required to exploit this vulnerability. The specific flaw exists within the /api/installation/setThumbnailRc endpoint. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of the current user. |
Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-4616 (lien direct) | Cette vulnérabilité permet aux attaquants distants de divulguer des informations sensibles sur les installations affectées de l'assistant LG LG.L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité.Le défaut spécifique existe dans le point de terminaison / API / Minide.Le problème résulte de l'absence de validation appropriée d'un chemin fourni par l'utilisateur avant de l'utiliser dans les opérations de fichiers.Un attaquant peut tirer parti de cette vulnérabilité pour divulguer des informations dans le contexte de l'utilisateur actuel.
This vulnerability allows remote attackers to disclose sensitive information on affected installations of LG LED Assistant. Authentication is not required to exploit this vulnerability. The specific flaw exists within the /api/thumbnail endpoint. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to disclose information in the context of the current user. |
Vulnerability | ||
|
2023-09-04 11:15:41 | CVE-2023-40208 (lien direct) | Unauth.La vulnérabilité des scripts croisés (XSS) réfléchis dans Aleksandar uro & aring; & iExcl; evi?Plugin de ticker de stock | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-39987 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Ajay Lulia WSECure Lite | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-39918 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le package de réservation de réservation de saasproject plugin | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-39919 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Maennchen1.de wpshopgermany & acirc; & euro; & ldquo;Plugin de boutiques protégées | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-37393 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans la collaboration, commentaires et ampli du site Web visuel d'Atarim;Gestion de projet & acirc; & euro; & ldquo;Plugin atarim | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-39988 (lien direct) | Auth.(Contributeur +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin wxSync | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-39991 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans les réseaux aveugles du plugin bigbluebutton | Vulnerability | ||
|
2023-09-04 11:15:40 | CVE-2023-31220 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans WP-experts.in Équipe Catégories WP Plugin widget | Vulnerability | ||
|
2023-09-04 11:15:39 | CVE-2023-30494 (lien direct) | Unauth.La vulnérabilité de script croisé (XSS) réfléchie dans l'imagerecycle Imagerecycle PDF & amp;Plugin de compression d'image | Vulnerability | ||
|
2023-09-04 10:15:09 | CVE-2023-39164 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans la boîte d'auteur Molongui pour les auteurs, les co-auteurs, les auteurs multiples et les auteurs invités & acirc; & euro; & ldquo;Plugin Molongui | Vulnerability | ||
|
2023-09-04 10:15:08 | CVE-2023-36382 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans les catégories de bibliothèque de médias Jeffrey-WP Plugin | Vulnerability | ||
|
2023-09-04 10:15:08 | CVE-2023-39162 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans la vérification par e-mail de l'utilisateur de XLPlugins pour le plugin wooCommerce | Vulnerability | ||
|
2023-09-04 10:15:07 | CVE-2023-25465 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Gopi Ramasamy WP Dites à un plugin de formulaire popup d'ami | Vulnerability | ||
|
2023-09-04 09:15:07 | CVE-2023-4613 (lien direct) | Limitation inappropriée d'un chemin d'accès à un répertoire restreint (\\ 'Path Traversal \') La vulnérabilité dans LG Electronics LG-dirigée par l'assistant LG permet l'inclusion de code distant.
Improper Limitation of a Pathname to a Restricted Directory (\'Path Traversal\') vulnerability in LG Electronics LG-LED Assistant allows Remote Code Inclusion. |
Vulnerability | ||
|
2023-09-04 01:15:07 | CVE-2023-4747 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Dedecms 5.7.110.Cette vulnérabilité affecte le code inconnu du fichier /uploads/tags.php.La manipulation de l'argument Tag_alias conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-238636.
A vulnerability classified as critical was found in DedeCMS 5.7.110. This vulnerability affects unknown code of the file /uploads/tags.php. The manipulation of the argument tag_alias leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-238636. |
Vulnerability | ||
|
2023-09-04 01:15:07 | CVE-2023-4746 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Totolink N200RE V5 9.3.5U.6437_B20230519.Cela affecte la fonction Validity_check.La manipulation mène à la chaîne de format.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-238635.
A vulnerability classified as critical has been found in TOTOLINK N200RE V5 9.3.5u.6437_B20230519. This affects the function Validity_check. The manipulation leads to format string. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-238635. |
Vulnerability | ||
|
2023-09-04 00:15:07 | CVE-2023-4744 (lien direct) | Une vulnérabilité a été trouvée dans Tenda AC8 16.03.34.06_CN_TDC01.Il a été déclaré comme critique.Cette vulnérabilité est la fonction FormSetDeviceName.La manipulation conduit à un débordement de tampon basé sur la pile.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-238633 a été attribué à cette vulnérabilité.
A vulnerability was found in Tenda AC8 16.03.34.06_cn_TDC01. It has been declared as critical. Affected by this vulnerability is the function formSetDeviceName. The manipulation leads to stack-based buffer overflow. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-238633 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-04 00:15:07 | CVE-2023-4745 (lien direct) | Une vulnérabilité a été trouvée dans Pékin Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Plateforme jusqu'en 20230822. Il a été considéré comme critique.Ce problème est une fonctionnalité inconnue du fichier /impportexport.php.La manipulation conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-238634 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in Beijing Baichuo Smart S45F Multi-Service Secure Gateway Intelligent Management Platform up to 20230822. It has been rated as critical. Affected by this issue is some unknown functionality of the file /importexport.php. The manipulation leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-238634 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-09-03 23:15:40 | CVE-2023-4743 (lien direct) | Une vulnérabilité a été trouvée dans Dreamer CMS jusqu'à 4.1.3.Il a été classé comme problématique.Affecté est une fonction inconnue du fichier / upload / ueditorconfig? Action = config.La manipulation conduit à des fichiers ou des répertoires accessibles.Il est possible de lancer l'attaque à distance.La complexité d'une attaque est plutôt élevée.L'exploitabilité est dite difficile.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-238632.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Dreamer CMS up to 4.1.3. It has been classified as problematic. Affected is an unknown function of the file /upload/ueditorConfig?action=config. The manipulation leads to files or directories accessible. It is possible to launch the attack remotely. The complexity of an attack is rather high. The exploitability is told to be difficult. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-238632. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-03 23:15:39 | CVE-2023-4741 (lien direct) | Une vulnérabilité a été trouvée dans IBOS OA 4.5.5 et classée comme critique.Cette vulnérabilité affecte le code inconnu du fichier? R = Diary / Default / DEL du composant Supprimer le gestionnaire de journaux.La manipulation conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-238630 est l'identifiant attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability has been found in IBOS OA 4.5.5 and classified as critical. This vulnerability affects unknown code of the file ?r=diary/default/del of the component Delete Logs Handler. The manipulation leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-238630 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-03 23:15:39 | CVE-2023-4742 (lien direct) | Une vulnérabilité a été trouvée dans IBOS OA 4.5.5 et classée comme critique.Ce problème affecte un traitement inconnu du fichier? R = tableau de bord / utilisateur / export & amp; uid = x.La manipulation conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-238631.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in IBOS OA 4.5.5 and classified as critical. This issue affects some unknown processing of the file ?r=dashboard/user/export&uid=X. The manipulation leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-238631. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-03 20:15:13 | CVE-2023-4739 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans la plate-forme de gestion S85F de Baichuo Smart S85F jusqu'en 20230820 sur Smart.Ce problème est une fonctionnalité inconnue du fichier /sysmanage/updateos.php.La manipulation de l'argument 1_file_upload conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-238628.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability, which was classified as critical, has been found in Beijing Baichuo Smart S85F Management Platform up to 20230820 on Smart. Affected by this issue is some unknown functionality of the file /sysmanage/updateos.php. The manipulation of the argument 1_file_upload leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-238628. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability | ||
|
2023-09-03 15:15:12 | CVE-2023-37222 (lien direct) | Farsight Tech Nordic AB Fournit la version 14.5 & acirc; & nbsp; - plusieurs vulnérabilités XSS (CWE-79) peuvent être exploitées par un utilisateur avec un privilège administrateur.
Farsight Tech Nordic AB ProVide version 14.5Â - Multiple XSS vulnerabilities (CWE-79) can be exploited by a user with administrator privilege. |
Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38517 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-sites stockées (XSS) dans le plugin de tables de tables de tables WRC RealWebCare | Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38476 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans PARTESHASH :: One Dashboard & acirc; & reg;Portail client: Plugin de connexion Direct Pariteash | Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38521 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin exifographie | Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38482 (lien direct) | Auth.(ADMIN +) Vulnérabilité de script inter-sites stockées (XSS) dans le plugin QualityUnit Post Affiliate Pro | Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38518 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin sans bordure VisualModo | Vulnerability | ||
|
2023-09-03 12:15:42 | CVE-2023-38516 (lien direct) | Auth.(Contributeur +) Vulnérabilité de script de script croisé (XSS) dans WP Onlinesupport, lecteur audio de plugin essentiel avec playlist ultimate Plugin | Vulnerability | ||
|
2023-09-03 12:15:41 | CVE-2023-38387 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin élastique de l'expéditeur de messagerie | Vulnerability |
To see everything:
Our RSS (filtrered)
