SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-10-16 17:15:10	CVE-2023-45690 (lien direct)	Les autorisations de fichiers par défaut sur South River Technologies \\ 'Titan MFT et Titan Sftp Serveurs sur Linux permettent à un utilisateur que l'authentification de l'OST au système d'exploitation de lire les fichiers sensibles du système de fichiers Default file permissions on South River Technologies\' Titan MFT and Titan SFTP servers on Linux allows a user that\'s authentication to the OS to read sensitive files on the filesystem
	2023-10-16 17:15:10	CVE-2023-45688 (lien direct)	Manque de validation de chemin suffisante dans South River Technologies \\ 'Titan MFT et Titan SFTP Les serveurs sur Linux permet à un attaquant authentifié d'obtenir la taille d'un fichier arbitraire sur le système de fichiers en utilisant la traversée de chemin dans la commande "taille" FTP Lack of sufficient path validation in South River Technologies\' Titan MFT and Titan SFTP servers on Linux allows an authenticated attacker to get the size of an arbitrary file on the filesystem using path traversal in the ftp "SIZE" command
	2023-10-16 17:15:10	CVE-2023-45687 (lien direct)	Une vulnérabilité de fixation de session dans South River Technologies \\ 'Titan MFT et Titan SFTP SERVES sur Linux et Windows permet à un attaquant de contourner l'authentification du serveur \\ s'il peut inciter un administrateur à autorisation d'un ID de session de son choix A session fixation vulnerability in South River Technologies\' Titan MFT and Titan SFTP servers on Linux and Windows allows an attacker to bypass the server\'s authentication if they can trick an administrator into authorizating a session id of their choosing	Vulnerability
	2023-10-16 17:15:10	CVE-2023-45689 (lien direct)	Manque de validation de chemin suffisante dans South River Technologies \\ 'Titan MFT et Titan SFTP Serveurs sur Windows et Linux permet à un attaquant authentifié avec des privilèges administratifs de lire n'importe quel fichier sur le système de fichiers via la traversée de chemin Lack of sufficient path validation in South River Technologies\' Titan MFT and Titan SFTP servers on Windows and Linux allows an authenticated attacker with administrative privileges to read any file on the filesystem via path traversal
	2023-10-16 17:15:10	CVE-2023-45686 (lien direct)	Validation de chemin insuffisante lors de l'écriture d'un fichier via webdav dans South River Technologies \\ 'Titan MFT et Titan SFTP Serveurs sur Linux permet à un attaquant authentifié d'écrire un fichier sur n'importe quel emplacement sur le système de fichiers via le chemin de la traversée de chemin Insufficient path validation when writing a file via WebDAV in South River Technologies\' Titan MFT and Titan SFTP servers on Linux allows an authenticated attacker to write a file to any location on the filesystem via path traversal
	2023-10-16 17:15:09	CVE-2023-45685 (lien direct)	Validation insuffisante du chemin lors de l'extraction d'une archive zip dans les serveurs South River Technologies \\ 'Titan MFT et Titan SFTP sur Windows et Linux permet à un attaquant authentifié d'écrire un fichier sur n'importe quel emplacement sur le système de fichiers via le chemin de la traversée de chemin Insufficient path validation when extracting a zip archive in South River Technologies\' Titan MFT and Titan SFTP servers on Windows and Linux allows an authenticated attacker to write a file to any location on the filesystem via path traversal
	2023-10-16 16:15:10	CVE-2023-20198 (lien direct)	Cisco est conscient de l'exploitation active d'une vulnérabilité précédemment inconnue dans la fonctionnalité Web de l'interface utilisateur du logiciel Cisco iOS XE lorsqu'il est exposé à Internet ou à des réseaux non fiables.Cette vulnérabilité permet à un attaquant éloigné et non authentifié de créer un compte sur un système affecté avec un accès de privilège de niveau 15.L'attaquant peut ensuite utiliser ce compte pour prendre le contrôle du système affecté. Pour les étapes pour fermer le vecteur d'attaque pour cette vulnérabilité, voir la section des recommandations de cette avis et acirc; & nbsp; Cisco fournira des mises à jour sur l'état de cette enquête et lorsqu'un correctif logiciel est disponible. Cisco is aware of active exploitation of a previously unknown vulnerability in the web UI feature of Cisco IOS XE Software when exposed to the internet or to untrusted networks. This vulnerability allows a remote, unauthenticated attacker to create an account on an affected system with privilege level 15 access. The attacker can then use that account to gain control of the affected system. For steps to close the attack vector for this vulnerability, see the Recommendations section of this advisoryÂ Cisco will provide updates on the status of this investigation and when a software patch is available.	Vulnerability
	2023-10-16 15:15:17	CVE-2023-46087 (lien direct)	Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans Mahlamusa qui a frappé la page & acirc; & euro; & ldquo;Hit Counter Plugin	Vulnerability
	2023-10-16 14:15:10	CVE-2023-5575 (lien direct)	Contrôle d'accès inapproprié dans l'héritage d'autorisation dans Devolutions Server 2022.3.13.0 et précédemment permet à un attaquant qui a compromis un utilisateur privilégié faible pour accéder aux entrées via une combinaison spécifique d'autorisations dans l'entrée et dans son parent. Improper access control in the permission inheritance in Devolutions Server 2022.3.13.0 and earlier allows an attacker that compromised a low privileged user to access entries via a specific combination of permissions in the entry and in its parent.
	2023-10-16 12:15:10	CVE-2023-46066 (lien direct)	Auth.(éditeur +) Vulnérabilité de script inter-site stockée (XSS) dans CodeDrafty MediaBay & acirc; & euro; & ldquo;Plugin de dossiers de bibliothèque de médias	Vulnerability
	2023-10-16 12:15:10	CVE-2023-44987 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le logiciel de rendez-vous en temps opportun Plugin de bouton de réservation en temps opportun	Vulnerability
	2023-10-16 11:15:45	CVE-2023-45753 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Gilles Dumas qui modèle Plugin de fichier	Vulnerability
	2023-10-16 11:15:45	CVE-2023-45831 (lien direct)	Vulnérabilité de la contrefaçon de demande de site transversal (CSRF) en pixellatif, Mohsin Rafique Amp WP & acirc; & euro; & ldquo;Google AMP pour le plugin WordPress	Vulnerability
	2023-10-16 11:15:45	CVE-2023-45836 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Xydac Ultimate Taxonomy Manager	Vulnerability
	2023-10-16 11:15:45	CVE-2023-45763 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin taggbox	Vulnerability
	2023-10-16 11:15:44	CVE-2023-44229 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Gopi Ramasamy Tiny Carousel Horizontal Clider Plugin	Vulnerability
	2023-10-16 11:15:44	CVE-2023-45752 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de galerie de poteau de qualité 10	Vulnerability
	2023-10-16 11:15:44	CVE-2023-44985 (lien direct)	Auth.(Contribute +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin CyTech BudDymeet	Vulnerability
	2023-10-16 11:15:44	CVE-2023-45749 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) Dans Alexey Golubnichenko AGP FONT PLUGIN COLLECTION AMPRESSIONNANT	Vulnerability
	2023-10-16 11:15:44	CVE-2023-44986 (lien direct)	Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le chariot de chariot abandonné de Tyche pour le plugin WooCommerce	Vulnerability
	2023-10-16 11:15:44	CVE-2023-44984 (lien direct)	Auth.(Contributeur +) Vulnérabilité des scripts inter-sites (XSS) dans Robin Wilson BBP Style Pack Plugin	Vulnerability
	2023-10-16 11:15:44	CVE-2023-45748 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans les formulaires MailMunch MailChimp par plugin MailMunch	Vulnerability
	2023-10-16 10:15:12	CVE-2023-4457 (lien direct)	Grafana est une plate-forme open source pour la surveillance et l'observabilité. Le plugin de source de données Google Sheets pour Grafana, les versions 0.9.0 à 1.2.2 sont vulnérables à une vulnérabilité de divulgation d'informations. Le plugin n'a pas correctement désinfecté les messages d'erreur, ce qui en fait potentiellement exposer la touche Google Sheet qui est configurée pour la source de données. Cette vulnérabilité a été fixée dans la version 1.2.2. Grafana is an open-source platform for monitoring and observability. The Google Sheets data source plugin for Grafana, versions 0.9.0 to 1.2.2 are vulnerable to an information disclosure vulnerability. The plugin did not properly sanitize error messages, making it potentially expose the Google Sheet API-key that is configured for the data source. This vulnerability was fixed in version 1.2.2.	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45643 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Anurag Deshmukh CPT Plugin de générateur Shortcode	Vulnerability
	2023-10-16 10:15:11	CVE-2023-3991 (lien direct)	Une vulnérabilité d'injection de commande OS existe dans la fonctionnalité httpd iperfrun.cgi de Freshtomato 2023.3.Une demande HTTP spécialement conçue peut conduire à une exécution arbitraire de commande.Un attaquant peut envoyer une demande HTTP pour déclencher cette vulnérabilité. An OS command injection vulnerability exists in the httpd iperfrun.cgi functionality of FreshTomato 2023.3. A specially crafted HTTP request can lead to arbitrary command execution. An attacker can send an HTTP request to trigger this vulnerability.	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45647 (lien direct)	Vulnérabilité de la demande de demande de site transversal (CSRF) dans les formulaires de contact constant de MailMunch par le plugin MailMunch	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45641 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Caret Inc. Caret Country Access Limit Plugin	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45642 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Hassan Ali Snap Pixel	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45639 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Codex-T tri SearchResult par le plugin de titre	Vulnerability
	2023-10-16 10:15:11	CVE-2023-45645 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin INFOD74 WP Open Street Map	Vulnerability
	2023-10-16 09:15:12	CVE-2023-5595 (lien direct)	Denial of Service dans le référentiel GPAC / GPAC GHUB avant 2.3.0-Dev. Denial of Service in GitHub repository gpac/gpac prior to 2.3.0-DEV.
	2023-10-16 09:15:12	CVE-2023-5422 (lien direct)	Les fonctions pour récupérer le courrier électronique via POP3 ou IMAP ainsi que l'envoi électronique via une utilisation SMTP OpenSSL pour la communication SSL ou TLS statique.Comme le La fonction ssl_get_verify_result () n'est pas utilisée le certificat est toujours fiable et il ne peut pas être assuré que le certificat satisfait toutes les exigences de sécurité nécessaires. Cela pourrait permettre un attaquant pour utiliser un certificat non valide pour prétendre être un hôte de confiance, utiliser des certificats expirés ou effectuer d'autres attaques qui pourraient être détecté si le certificat est correctement validé. Ce problème affecte les OTR: de 7.0.x avant 7.0.47, à partir de 8.0.x avant 8.0.37;((OTRS)) Édition communautaire: de 6.0.x à 6.0.34. The functions to fetch e-mail via POP3 or IMAP as well as sending e-mail via SMTP use OpenSSL for static SSL or TLS based communication. As the SSL_get_verify_result() function is not used the certificated is trusted always and it can not be ensured that the certificate satisfies all necessary security requirements. This could allow an attacker to use an invalid certificate to claim to be a trusted host, use expired certificates, or conduct other attacks that could be detected if the certificate is properly validated. This issue affects OTRS: from 7.0.X before 7.0.47, from 8.0.X before 8.0.37; ((OTRS)) Community Edition: from 6.0.X through 6.0.34.
	2023-10-16 09:15:11	CVE-2023-4822 (lien direct)	La vulnérabilité a un impact sur les instances avec plusieurs organisations et permet à un utilisateur avec des autorisations d'administration d'organisation dans une organisation de modifier les autorisations associées au spectateur de l'organisation, au rédacteur en chef de l'organisation et aux rôles d'administration de l'organisation dans toutes les organisations. Il permet également à un administrateur d'organisation d'attribuer ou de révoquer toute autorisation qu'elle a à tout utilisateur à l'échelle mondiale. Cela signifie que toute organisation administrative peut élever ses propres autorisations dans toute organisation dont elle est déjà membre, ou élever ou restreindre les autorisations de tout autre utilisateur. La vulnérabilité ne permet pas à un utilisateur de devenir membre d'une organisation dont il n'est pas déjà membre, ou d'ajouter d'autres utilisateurs à une organisation dont l'utilisateur actuel n'est pas membre. The vulnerability impacts instances with several organizations, and allows a user with Organization Admin permissions in one organization to change the permissions associated with Organization Viewer, Organization Editor and Organization Admin roles in all organizations. It also allows an Organization Admin to assign or revoke any permissions that they have to any user globally. This means that any Organization Admin can elevate their own permissions in any organization that they are already a member of, or elevate or restrict the permissions of any other user. The vulnerability does not allow a user to become a member of an organization that they are not already a member of, or to add any other users to an organization that the current user is not a member of.	Vulnerability
	2023-10-16 09:15:11	CVE-2023-4620 (lien direct)	Le plugin WordPress du calendrier de réservation avant le 9.7.3.1 ne désinfecte pas et n'échappe pas à une partie de sa réservation à partir de données, permettant aux utilisateurs non authentifiés d'effectuer des attaques de scripts inter-sites stockés contre les administrateurs The Booking Calendar WordPress plugin before 9.7.3.1 does not sanitize and escape some of its booking from data, allowing unauthenticated users to perform Stored Cross-Site Scripting attacks against administrators
	2023-10-16 09:15:11	CVE-2023-45656 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Kevin Weber Lazy Load for Videos Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45655 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Pixelgrade PixFields Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-4834 (lien direct)	Dans Red Lion Europe & acirc; & nbsp; MBConnect24 et MyMBConnect24 et Helmholz MyRex24 et MyRex24.Virtual jusqu'à et incluant 2.14.2 AN & acirc; & nbsp; L'attaquant mal mis en œuvre permet un accès authentifié à un accès limité, non privilégié & acirg; & nbsp;-Les informations critiques sur son compte dans son compte à laquelle il ne devrait pas avoir accès. In Red Lion EuropeÂ mbCONNECT24 and mymbCONNECT24 and Helmholz myREX24 and myREX24.virtual up to and including 2.14.2 anÂ improperly implemented access validation allows an authenticated, low privilegedÂ attacker to gain read access to limited, non-critical device information in his account he should not have access to.
	2023-10-16 09:15:11	CVE-2023-4827 (lien direct)	Le plugin WordPress de File Manager Pro avant 1.8 ne vérifie pas correctement le CSRF NONCE dans l'action AJAX `FS_Connector`.Cela permet aux attaquants de faire des utilisateurs très privilégiés effectuer des actions de système de fichiers indésirables via des attaques CSRF en utilisant des demandes GET, telles que le téléchargement d'un shell Web. The File Manager Pro WordPress plugin before 1.8 does not properly check the CSRF nonce in the `fs_connector` AJAX action. This allows attackers to make highly privileged users perform unwanted file system actions via CSRF attacks by using GET requests, such as uploading a web shell.
	2023-10-16 09:15:11	CVE-2023-45654 (lien direct)	Vulnérabilité de la contre-site de la demande de site transversal (CSRF) dans Pixelgrade Commentaires Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45653 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans la liste de lecture vidéo Galaxy Webblinks pour le plugin YouTube	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45757 (lien direct)	La vulnérabilité de sécurité dans Apache BRPC 1.6.0, Lien de téléchargement: https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. Si vous utilisez une ancienne version de BRPC et difficile à mettre à niveau, vous pouvez appliquer ce patch: & acirc; & nbsp;https://github.com/apache/brpc/pull/2411 3. Désactiver la fonction RPCZ Security vulnerability in Apache bRPC 1.6.0, download link: https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. If you are using an old version of bRPC and hard to upgrade, you can apply this patch:Â https://github.com/apache/brpc/pull/2411 3. disable rpcz feature	Vulnerability
	2023-10-16 09:15:11	CVE-2023-5421 (lien direct)	Un attaquant qui est connecté à OTRS en tant qu'utilisateur ayant des privilèges pour créer et modifier les données des utilisateurs du client peut manipuler le champ CustomerId pour exécuter le code JavaScript qui s'exécute Immédiatement après l'enregistrement des données. Le problème ne se produit que si la configuration pour AdmingomerUser :: UseAutoComplete a été modifiée avant. Ce problème affecte les OTR: de 7.0.x avant 7.0.47, à partir de 8.0.x avant 8.0.37;((OTRS)) Édition communautaire: de 6.0.x à 6.0.34. An attacker who is logged into OTRS as an user with privileges to create and change customer user data may manipulate the CustomerID field to execute JavaScript code that runs immediatly after the data is saved.The issue onlyoccurs if the configuration for AdminCustomerUser::UseAutoComplete was changed before. This issue affects OTRS: from 7.0.X before 7.0.47, from 8.0.X before 8.0.37; ((OTRS)) Community Edition: from 6.0.X through 6.0.34.
	2023-10-16 09:15:11	CVE-2023-45650 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin FLA-Shop.com HTML5 MAPS	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45651 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de pièces jointes Marco Milesi WP	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45638 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Eupago Eupago Gateway pour le plugin WooCommerce	Vulnerability
	2023-10-16 09:15:10	CVE-2023-43666 (lien direct)	Vérification insuffisante de la vulnérabilité de l'authenticité des données dans Apache Inlong. Ce problème affecte Apache Inlong: de 1.4.0 à 1.8.0, & acirc; & nbsp; L'utilisateur général peut afficher toutes les données de l'utilisateur comme le compte d'administration. Il est conseillé aux utilisateurs de passer à Apache Inlong \\ 'S 1.9.0 ou Cherry-Pick [1] pour le résoudre. [1] & acirc; & nbsp;https://github.com/apache/inlong/pull/8623 Insufficient Verification of Data Authenticity vulnerability in Apache InLong.This issue affects Apache InLong: from 1.4.0 through 1.8.0,Â General user can view all user data like Admin account. Users are advised to upgrade to Apache InLong\'s 1.9.0 or cherry-pick [1] to solve it. [1]Â https://github.com/apache/inlong/pull/8623	Vulnerability
	2023-10-16 09:15:10	CVE-2023-43668 (lien direct)	Autorisation contourner la vulnérabilité clé contrôlée par l'utilisateur dans Apache Inlong. Ce problème affecte Apache Inlong: de 1.4.0 à 1.8.0, & acirc; & nbsp; Certaines vérifications de paramètres sensibles seront contournées, comme "AutoDeserizaliser", "AutorloadLocalinfile" .... & & Acirc; & nbsp; & acirc; & nbsp; Il est conseillé aux utilisateurs de passer à Apache Inlong \\ 'S 1.9.0 ou Cherry-Pick [1] pour le résoudre. [1] & acirc; & nbsp;https://github.com/apache/inlong/pull/8604 Authorization Bypass Through User-Controlled Key vulnerability in Apache InLong.This issue affects Apache InLong: from 1.4.0 through 1.8.0,Â some sensitive params checks will be bypassed, like "autoDeserizalize","allowLoadLocalInfile".... .Â Â Users are advised to upgrade to Apache InLong\'s 1.9.0 or cherry-pick [1] to solve it. [1]Â https://github.com/apache/inlong/pull/8604	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45606 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Lasso Simple URL	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45629 (lien direct)	Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans WPDevart Gallery & acirc; & euro; & ldquo;Image et galerie vidéo avec plugin miniatures	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45605 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de statistiques d'alimentation Christopher Finke	Vulnerability

Last update at: 2024-07-01 02:08:03
See our sources.

To see everything: Our RSS (filtrered)