SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-09-27 15:19:40	CVE-2023-4506 (lien direct)	Le plugin d'intégration Active Directory Integration / LDAP pour WordPress est vulnérable au Passback LDAP dans les versions jusqu'à et comprenant 4.1.10.Cela est dû à une validation insuffisante lors du changement du serveur LDAP.Cela permet aux attaquants authentifiés, avec un accès administratif et au-dessus, de modifier le serveur LDAP et de récupérer les informations d'identification du serveur LDAP d'origine. The Active Directory Integration / LDAP Integration plugin for WordPress is vulnerable to LDAP Passback in versions up to, and including, 4.1.10. This is due to insufficient validation when changing the LDAP server. This makes it possible for authenticated attackers, with administrative access and above, to change the LDAP server and retrieve the credentials for the original LDAP server.
	2023-09-27 15:19:40	CVE-2023-4737 (lien direct)	Une neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans le panneau d'administration de suivi HEDEF permet l'injection SQL.Ce problème affecte le panneau d'administration: avant 1.2. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Hedef Tracking Admin Panel allows SQL Injection.This issue affects Admin Panel: before 1.2.	Vulnerability
	2023-09-27 15:19:40	CVE-2023-4262 (lien direct)	Overflow de tampon possible & acirc; & nbsp;Dans le sous-système Zephyr Mgmt lorsque les affirmations sont désactivées Possible buffer overflowÂ in Zephyr mgmt subsystem when asserts are disabled
	2023-09-27 15:19:40	CVE-2023-4264 (lien direct)	Vulnérabilités potentielles de débordement de tampon n Le sous-système Zephyr Bluetooth. Potential buffer overflow vulnerabilities n the Zephyr Bluetooth subsystem.	Vulnerability
	2023-09-27 15:19:39	CVE-2023-44207 (lien direct)	Vulnérabilité de script de script croisé (XSS) stockée dans le nom du plan de protection.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Stored cross-site scripting (XSS) vulnerability in protection plan name. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.	Vulnerability
	2023-09-27 15:19:39	CVE-2023-4065 (lien direct)	Une faille a été trouvée dans l'opérateur de courtier AMQ Red Hat, où il affichait un mot de passe défini dans activeMQartemisaddress CR, illustré en texte brut dans le journal de l'opérateur.Ce défaut permet à un attaquant local authentifié d'accéder aux informations en dehors de leurs autorisations. A flaw was found in Red Hat AMQ Broker Operator, where it displayed a password defined in ActiveMQArtemisAddress CR, shown in plain text in the Operator Log. This flaw allows an authenticated local attacker to access information outside of their permissions.
	2023-09-27 15:19:39	CVE-2023-4003 (lien direct)	One Identity Password Manager version 5.9.7.1 - & acirc; & nbsp; un attaquant non authentifié avec un accès physique à une station de travail peut mettre à niveau les privilèges vers le système via une méthode non spécifiée.CWE-250: Exécution avec des privilèges inutiles. One Identity Password Manager version 5.9.7.1 -Â An unauthenticated attacker with physical access to a workstation may upgrade privileges to SYSTEM through an unspecified method. CWE-250: Execution with Unnecessary Privileges.
	2023-09-27 15:19:39	CVE-2023-44206 (lien direct)	Divulgation et manipulation d'informations sensibles en raison d'une mauvaise autorisation.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure and manipulation due to improper authorization. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:39	CVE-2023-44216 (lien direct)	PVRIC (PowerVR Image Compression) on Imagination 2018 et ultérieurement GPU Devices propose une compression transparente de logiciels qui permet des attaques de vol de pixels d'origine croisée contre la feturbulence et le feblend dans la spécification du filtre SVG.Par exemple, les attaquants peuvent parfois déterminer avec précision le texte contenu sur une page Web d'une origine s'ils contrôlent une ressource à partir d'une origine différente. PVRIC (PowerVR Image Compression) on Imagination 2018 and later GPU devices offers software-transparent compression that enables cross-origin pixel-stealing attacks against feTurbulence and feBlend in the SVG Filter specification. For example, attackers can sometimes accurately determine text contained on a web page from one origin if they control a resource from a different origin.
	2023-09-27 15:19:39	CVE-2023-44205 (lien direct)	Divulgation d'informations sensibles en raison d'une mauvaise autorisation.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure due to improper authorization. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:38	CVE-2023-44172 (lien direct)	SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_weixin.php. SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_weixin.php.	Vulnerability
	2023-09-27 15:19:38	CVE-2023-44171 (lien direct)	SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_smtp.php. SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_smtp.php.	Vulnerability
	2023-09-27 15:19:38	CVE-2023-44170 (lien direct)	SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_ping.php. SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_ping.php.	Vulnerability
	2023-09-27 15:19:38	CVE-2023-44169 (lien direct)	SEACMS V12.9 a été découvert qu'il contenait une vulnérabilité d'arbitraire d'écriture de fichiers via le composant admin_notify.php. SeaCMS V12.9 was discovered to contain an arbitrary file write vulnerability via the component admin_notify.php.	Vulnerability
	2023-09-27 15:19:38	CVE-2023-44159 (lien direct)	Divulgation d'informations sensibles en raison du stockage en texte clair d'informations sensibles.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure due to cleartext storage of sensitive information. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:38	CVE-2023-44161 (lien direct)	Manipulation d'informations sensibles en raison de la contrefaçon de demande inter-sites.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information manipulation due to cross-site request forgery. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:38	CVE-2023-44160 (lien direct)	Manipulation d'informations sensibles en raison de la contrefaçon de demande inter-sites.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information manipulation due to cross-site request forgery. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44127 (lien direct)	La vulnérabilité est que l'application Gestion des appels ("com.android.server.telecom") patchée par LG lance des intentions implicites qui divulguent des données sensibles à toutes les applications tierces installées sur le même appareil.Ces intentions comprennent des données telles que les coordonnées et les numéros de téléphone. he vulnerability is that the Call management ("com.android.server.telecom") app patched by LG launches implicit intents that disclose sensitive data to all third-party apps installed on the same device. Those intents include data such as contact details and phone numbers.	Vulnerability
	2023-09-27 15:19:37	CVE-2023-44154 (lien direct)	Divulgation et manipulation d'informations sensibles en raison d'une mauvaise autorisation.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure and manipulation due to improper authorization. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44156 (lien direct)	Divulgation d'informations sensibles en raison de la jackage des sorts.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure due to spell-jacking. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44128 (lien direct)	La vulnérabilité est de supprimer des fichiers arbitraires dans l'application lginstallService ("com.lge.lginstallServies").L'application contient le service "com.lge.lginstallServices" Com.lge.lginstallServies.installService qui expose une interface AIDL.Toutes ses méthodes "installPackage " appellent enfin la méthode "installPackageVify ()" qui effectue la validation de signature après la méthode de fichier de suppression.Un attaquant peut contrôler les conditions afin que ce contrôle de sécurité ne soit jamais effectué et qu'un fichier contrôlé par l'attaquant soit supprimé. he vulnerability is to delete arbitrary files in LGInstallService ("com.lge.lginstallservies") app. The app contains the exported "com.lge.lginstallservies.InstallService" service that exposes an AIDL interface. All its "installPackage" methods are finally calling the "installPackageVerify()" method that performs signature validation after the delete file method. An attacker can control conditions so this security check is never performed and an attacker-controlled file is deleted.	Vulnerability
	2023-09-27 15:19:37	CVE-2023-44129 (lien direct)	La vulnérabilité est que l'application Messagerie ("com.android.mms") corrigé par LG transmet les intentions contrôlées par l'attaquant à l'attaquant dans l'activité "com.android.ms.ui.qclipintentreiverActivity".L'attaquant peut abuser de cette fonctionnalité en lançant cette activité, puis en envoyant une diffusion avec l'action "com.lge.message.action.qclip".L'attaquant peut envoyer, par exemple, ses propres données de données / clipdata et définir des indicateurs INTENT.FLAG_GRANT_ .Une fois que l'attaquant a reçu cette intention dans la méthode "OnActivityResult ()", ils auraient accès à des fournisseurs de contenu arbitraires qui ont le jeu de drapeaux `Android: GrantUruperMmissions =" True "`. The vulnerability is that the Messaging ("com.android.mms") app patched by LG forwards attacker-controlled intents back to the attacker in the exported "com.android.mms.ui.QClipIntentReceiverActivity" activity. The attacker can abuse this functionality by launching this activity and then sending a broadcast with the "com.lge.message.action.QCLIP" action. The attacker can send, e.g., their own data/clipdata and set Intent.FLAG_GRANT_ flags. After the attacker received that intent in the "onActivityResult()" method, they would have access to arbitrary content providers that have the `android:grantUriPermissions="true"` flag set.	Vulnerability
	2023-09-27 15:19:37	CVE-2023-44158 (lien direct)	Divulgation d'informations sensibles en raison d'un masquage insuffisant du champ de jetons.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information disclosure due to insufficient token field masking. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44157 (lien direct)	Escalade des privilèges locaux en raison d'autorisations de dossiers sans sécurité.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Windows) avant la construction 35979. Local privilege escalation due to insecure folder permissions. The following products are affected: Acronis Cyber Protect 15 (Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44155 (lien direct)	Les informations sensibles fuient via les fichiers journaux.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, Windows) avant de construire 35979. Sensitive information leak through log files. The following products are affected: Acronis Cyber Protect 15 (Linux, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44152 (lien direct)	Divulgation et manipulation d'informations sensibles dues à une mauvaise authentification.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, MacOS, Windows) avant de construire 35979. Sensitive information disclosure and manipulation due to improper authentication. The following products are affected: Acronis Cyber Protect 15 (Linux, macOS, Windows) before build 35979.
	2023-09-27 15:19:37	CVE-2023-44153 (lien direct)	Divulgation d'informations sensibles en raison du stockage en texte clair d'informations sensibles en mémoire.Les produits suivants sont affectés: Acronis Cyber Protect 15 (Linux, MacOS, Windows) avant de construire 35979. Sensitive information disclosure due to cleartext storage of sensitive information in memory. The following products are affected: Acronis Cyber Protect 15 (Linux, macOS, Windows) before build 35979.
	2023-09-27 15:19:36	CVE-2023-44126 (lien direct)	La vulnérabilité est que l'application Gestion de l'appel ("com.android.server.telecom") corrigé par LG envoie de nombreuses diffusions implicites appartenant à LG qui divulguent des données sensibles à toutes les applications tierces installées sur le même appareil.Ces intentions comprennent des données telles que les états d'appel, les durées, les numéros appelés, les informations de contact, etc. The vulnerability is that the Call management ("com.android.server.telecom") app patched by LG sends a lot of LG-owned implicit broadcasts that disclose sensitive data to all third-party apps installed on the same device. Those intents include data such as call states, durations, called numbers, contacts info, etc.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44019 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre Mac dans la fonction GetparentControLinfo. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the mac parameter in the GetParentControlInfo function.
	2023-09-27 15:19:35	CVE-2023-44042 (lien direct)	Une vulnérabilité de script inter-sites stockée (XSS) dans /settings/index.php de Black Cat CMS 1.4.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre d'en-tête du site Web. A stored cross-site scripting (XSS) vulnerability in /settings/index.php of Black Cat CMS 1.4.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Website header parameter.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44020 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre de sécurité dans la fonction FormWiFibasicset. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the security parameter in the formWifiBasicSet function.
	2023-09-27 15:19:35	CVE-2023-44124 (lien direct)	La vulnérabilité est au vol de fichiers arbitraires avec le privilège système dans l'enregistrement d'écran ("com.lge.gametools.gamerecorder") dans le fichier "com / lge / gametools / gamerecorder / paramètres / profilepreferenceFragment.java".Le principal problème est que l'application lance des intentions implicites qui peuvent être interceptées par des applications tierces installées sur le même appareil.Ils peuvent également renvoyer des données arbitraires qui seront transmises à la méthode "OnActivityResult ()".L'application d'enregistrement d'écran enregistre le contenu des URI arbitraires à la carte SD qui est un stockage lisible par le monde. The vulnerability is to theft of arbitrary files with system privilege in the Screen recording ("com.lge.gametools.gamerecorder") app in the "com/lge/gametools/gamerecorder/settings/ProfilePreferenceFragment.java" file. The main problem is that the app launches implicit intents that can be intercepted by third-party apps installed on the same device. They also can return arbitrary data that will be passed to the "onActivityResult()" method. The Screen recording app saves contents of arbitrary URIs to SD card which is a world-readable storage.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44021 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via la fonction FormSetClientState. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the formSetClientState function.
	2023-09-27 15:19:35	CVE-2023-44121 (lien direct)	La vulnérabilité est une redirection d'intention dans LG Thinq Service ("com.lge.lms2") dans le fichier "com / lge / lms / thartes / ui / notification / notificationManager.java".Cette vulnérabilité pourrait être exploitée par une application tierce installée sur un appareil LG en envoyant une diffusion avec l'action "com.lge.lms.things.notification.action".De plus, cette vulnérabilité est très dangereuse car LG Thinq Service est une application système (ayant Android: SharedUserrid = "Android.uid.System" Paramètre).La redirection de l'intention de cette application conduit à accéder aux activités arbitraires non exportées de toutes les applications. The vulnerability is an intent redirection in LG ThinQ Service ("com.lge.lms2") in the "com/lge/lms/things/ui/notification/NotificationManager.java" file. This vulnerability could be exploited by a third-party app installed on an LG device by sending a broadcast with the action "com.lge.lms.things.notification.ACTION". Additionally, this vulnerability is very dangerous because LG ThinQ Service is a system app (having android:sharedUserId="android.uid.system" setting). Intent redirection in this app leads to accessing arbitrary not exported activities of absolutely all apps.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44043 (lien direct)	Une vulnérabilité de script inter-sites stockée (XSS) dans /settings/index.php de Black Cat CMS 1.4.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de page de page du site Web. A stored cross-site scripting (XSS) vulnerability in /settings/index.php of Black Cat CMS 1.4.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Website footer parameter.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44044 (lien direct)	Super Store Finder v3.6 et ci-dessous a été découvert pour contenir une vulnérabilité d'injection SQL via le paramètre de recherche à /admin/stores.php. Super Store Finder v3.6 and below was discovered to contain a SQL injection vulnerability via the Search parameter at /admin/stores.php.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44022 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre Speed_Dir dans la fonction FormSetSpeedwan. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the speed_dir parameter in the formSetSpeedWan function.
	2023-09-27 15:19:35	CVE-2023-44018 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre de domaine dans la fonction add_white_node. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the domain parameter in the add_white_node function.
	2023-09-27 15:19:35	CVE-2023-44017 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0RTL_V15.03.06.49_Multi_TDE01 a été découvert qu'il contenait un débordement de pile via le paramètre du fuseau horaire dans la fonction FromSetSystime. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the timeZone parameter in the fromSetSysTime function.
	2023-09-27 15:19:35	CVE-2023-44125 (lien direct)	La vulnérabilité est l'utilisation de l'intente implicite sans l'ensemble en attente.flag_immutable qui mène au vol et / ou (sur-) écrire des fichiers arbitraires avec un privilège système dans l'application de service personnalisé ("com.lge.abba").L'application de l'attaquant \\, si elle avait accès aux notifications d'applications, pourrait les intercepter et les rediriger vers son activité, avant de lui donner des autorisations d'accès aux fournisseurs de contenu avec le drapeau `Android: GRANULUPERIPERMISSIONS =" True ". The vulnerability is the use of implicit PendingIntents without the PendingIntent.FLAG_IMMUTABLE set that leads to theft and/or (over-)write of arbitrary files with system privilege in the Personalized service ("com.lge.abba") app. The attacker\'s app, if it had access to app notifications, could intercept them and redirect them to its activity, before making it grant access permissions to content providers with the `android:grantUriPermissions="true"` flag.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44016 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre deviceID dans la fonction addWiFimacFilter. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the deviceId parameter in the addWifiMacFilter function.
	2023-09-27 15:19:35	CVE-2023-44023 (lien direct)	Tenda AC10U V1.0 US_AC10UV1.0rtl_v15.03.06.49_multi_tde01 a été découvert pour contenir un débordement de pile via le paramètre SSID dans la fonction form_fast_setting_wifi_set. Tenda AC10U v1.0 US_AC10UV1.0RTL_V15.03.06.49_multi_TDE01 was discovered to contain a stack overflow via the ssid parameter in the form_fast_setting_wifi_set function.
	2023-09-27 15:19:35	CVE-2023-44122 (lien direct)	La vulnérabilité est au vol de fichiers arbitraires avec un privilège système dans l'application LocksCreenSettings ("com.lge.lockscreensettings") dans le fichier "com / lge / lockscreensettings / dynamicwallpaper / mycategoryguideActivity.java".Le principal problème est que l'application lance des intentions implicites qui peuvent être interceptées par des applications tierces installées sur le même appareil.Ils peuvent également renvoyer des données arbitraires qui seront transmises à la méthode "OnActivityResult ()".L'application LocksCreenSettings copie le fichier reçu sur le chemin "/data/shared/dw/mycategory/wallpaper_01.png", puis modifie le mode d'accès au fichier à la lienable du monde et dans le monde. The vulnerability is to theft of arbitrary files with system privilege in the LockScreenSettings ("com.lge.lockscreensettings") app in the "com/lge/lockscreensettings/dynamicwallpaper/MyCategoryGuideActivity.java" file. The main problem is that the app launches implicit intents that can be intercepted by third-party apps installed on the same device. They also can return arbitrary data that will be passed to the "onActivityResult()" method. The LockScreenSettings app copies the received file to the "/data/shared/dw/mycategory/wallpaper_01.png" path and then changes the file access mode to world-readable and world-writable.	Vulnerability
	2023-09-27 15:19:35	CVE-2023-44123 (lien direct)	La vulnérabilité est l'utilisation de l'intente en attente implicite avec l'ensemble d'ensemble.flag_mutable qui mène au vol et / ou (sur-) écrire des fichiers arbitraires avec un privilège système dans l'application Bluetooth ("com.lge.bluetoothsetting").L'application de l'attaquant \\, si elle avait accès aux notifications d'applications, pourrait les intercepter et les rediriger vers son activité, avant de lui donner des autorisations d'accès aux fournisseurs de contenu avec le drapeau `Android: GRANULUPERIPERMISSIONS =" True ". The vulnerability is the use of implicit PendingIntents with the PendingIntent.FLAG_MUTABLE set that leads to theft and/or (over-)write of arbitrary files with system privilege in the Bluetooth ("com.lge.bluetoothsetting") app. The attacker\'s app, if it had access to app notifications, could intercept them and redirect them to its activity, before making it grant access permissions to content providers with the `android:grantUriPermissions="true"` flag.	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43830 (lien direct)	Une vulnérabilité de script de sites croisées (XSS) dans / panneau / configuration / financier / de Subrion V4.2.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans plusieurs champs: \\ 'Minimum Deposit \', \\ 'Dépôt maximal \' et / ou \\ 'MAXIMUM BLACHE \'. A Cross-site scripting (XSS) vulnerability in /panel/configuration/financial/ of Subrion v4.2.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into several fields: \'Minimum deposit\', \'Maximum deposit\' and/or \'Maximum balance\'.	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43825 (lien direct)	La vulnérabilité de traversée de chemin relatif dans Shihonkanri plus Ver9.0.3 et précédemment permet à un attaquant local d'exécuter un code arbitraire en demandant à un utilisateur légitime d'importer un fichier de sauvegarde spécialement conçu du produit. Relative path traversal vulnerability in Shihonkanri Plus Ver9.0.3 and earlier allows a local attacker to execute an arbitrary code by having a legitimate user import a specially crafted backup file of the product..	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43646 (lien direct)	Get-Func-Name est un module pour récupérer un nom de fonction en toute sécurité et cohérente dans NodeJS et le navigateur.Les versions avant 2.0.1 sont soumises à une vulnérabilité régulière de déni de service (redos) qui peut conduire à un déni de service lors de l'analyse de l'entrée malveillante.Cette vulnérabilité peut être exploitée lorsqu'il y a un déséquilibre entre parenthèses, ce qui entraîne un retour en arrière excessif et augmente ensuite considérablement la charge du processeur et le temps de traitement.Cette vulnérabilité peut être déclenchée en utilisant l'entrée suivante: \\ '\ t \'. Répéter (54773) + \\ '\ t / function / i \'.Ce problème a été résolu dans Commit `F934B228B`, qui a été inclus dans les versions de 2.0.1.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité. get-func-name is a module to retrieve a function\'s name securely and consistently both in NodeJS and the browser. Versions prior to 2.0.1 are subject to a regular expression denial of service (redos) vulnerability which may lead to a denial of service when parsing malicious input. This vulnerability can be exploited when there is an imbalance in parentheses, which results in excessive backtracking and subsequently increases the CPU load and processing time significantly. This vulnerability can be triggered using the following input: \'\t\'.repeat(54773) + \'\t/function/i\'. This issue has been addressed in commit `f934b228b` which has been included in releases from 2.0.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43775 (lien direct)	La vulnérabilité du déni de service dans le serveur Web de l'Eaton SMP SG-4260 permet Attaquant pour potentiellement forcer un redémarrage inattendu de la passerelle SMP Plateforme d'automatisation, impactant la disponibilité du produit.Dans des situations rares, le problème pourrait provoquer Le dispositif SMP à redémarrer en mode sans échec ou en mode sans échec.En mode sans échec max, le produit est Plus vulnérable. Denial-of-service vulnerability in the web server of the Eaton SMP SG-4260 allows attacker to potentially force an unexpected restart of the SMP Gateway automation platform, impacting the availability of the product. In rare situations, the issue could cause the SMP device to restart in Safe Mode or Max Safe Mode. When in Max Safe Mode, the product is not vulnerable anymore.	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43857 (lien direct)	Le Dreamer CMS V4.1.3 a été découvert qu'il contenait une vulnérabilité de script inter-site (XSS) stockée via le composant / admin / u / toindex. Dreamer CMS v4.1.3 was discovered to contain a stored cross-site scripting (XSS) vulnerability via the component /admin/u/toIndex.	Vulnerability
	2023-09-27 15:19:34	CVE-2023-43331 (lien direct)	Une vulnérabilité de script de sites croisées (XSS) dans la fonction utilisateur ADD de Small CRM V3.0 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le champ Nom. A cross-site scripting (XSS) vulnerability in the Add User function of Small CRM v3.0 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Name field.	Vulnerability

Last update at: 2024-07-20 06:08:22
See our sources.

To see everything: Our RSS (filtrered)