SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-10-14 17:15:09	CVE-2023-30994 (lien direct)	IBM QRADAR SIEM 7.5.0 utilise des algorithmes cryptographiques plus faibles que prévu qui pourraient permettre à un attaquant de déchiffrer des informations très sensibles.IBM X-Force ID: 254138 IBM QRadar SIEM 7.5.0 uses weaker than expected cryptographic algorithms that could allow an attacker to decrypt highly sensitive information. IBM X-Force ID: 254138
	2023-10-14 16:15:10	CVE-2022-43868 (lien direct)	IBM Security Vérifiez que l'accès au fournisseur OIDC pourrait divulguer des informations de répertoire qui pourraient aider les attaquants à d'autres attaques contre le système.IBM X-FORCE ID: 239445. IBM Security Verify Access OIDC Provider could disclose directory information that could aid attackers in further attacks against the system. IBM X-Force ID: 239445.
	2023-10-14 16:15:10	CVE-2022-43740 (lien direct)	IBM Security Vérifier l'accès au fournisseur OIDC pourrait permettre à un utilisateur distant de provoquer un déni de service en raison d'une consommation de ressources non contrôlée.IBM X-FORCE ID: 238921. IBM Security Verify Access OIDC Provider could allow a remote user to cause a denial of service due to uncontrolled resource consumption. IBM X-Force ID: 238921.
	2023-10-14 16:15:10	CVE-2023-35024 (lien direct)	IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2,21.0.3, 22.0.1 et 22.0.2 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 258349. IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1, and 22.0.2 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 258349.	Vulnerability Cloud
	2023-10-14 16:15:10	CVE-2023-45176 (lien direct)	IBM App Connect Enterprise 11.0.0.1 à 11.0.0.23, 12.0.1.0 à 12.0.10.0 et IBM Integration Bus 10.1 à 10.1.0.1 sont vulnérables à un déni de service pour les nœuds d'intégration sur Windows.IBM X-FORCE ID: 247998. IBM App Connect Enterprise 11.0.0.1 through 11.0.0.23, 12.0.1.0 through 12.0.10.0 and IBM Integration Bus 10.1 through 10.1.0.1 are vulnerable to a denial of service for integration nodes on Windows. IBM X-Force ID: 247998.
	2023-10-14 15:15:09	CVE-2022-32755 (lien direct)	IBM Security Directory Server 6.4.0 est vulnérable à une attaque XML à injection d'entité externe (XXE) lors du traitement des données XML.Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles ou consommer des ressources de mémoire.IBM X-FORCE ID: 228505. IBM Security Directory Server 6.4.0 is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 228505.	Vulnerability
	2023-10-14 15:15:09	CVE-2022-33161 (lien direct)	IBM Security Directory Server 6.4.0 pourrait permettre à un attaquant distant d'obtenir des informations sensibles, causées par l'échec de l'activation correcte de la sécurité du transport strict HTTP.Un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles en utilisant l'homme dans les techniques du milieu.ID X-Force: 228569. IBM Security Directory Server 6.4.0 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. X-Force ID: 228569.	Vulnerability
	2023-10-14 15:15:09	CVE-2022-33165 (lien direct)	IBM Security Directory Server 6.4.0 pourrait permettre à un attaquant distant de traverser les répertoires sur le système.Un attaquant peut envoyer une demande d'URL spécialement réalisée contenant des séquences "dot" (/../) pour afficher des fichiers arbitraires sur le système.IBM X-FORCE ID: 228582. IBM Security Directory Server 6.4.0 could allow a remote attacker to traverse directories on the system. An attacker could send a specially-crafted URL request containing "dot dot" sequences (/../) to view arbitrary files on the system. IBM X-Force ID: 228582.
	2023-10-14 14:15:10	CVE-2023-5582 (lien direct)	Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans ZZZCMS 2.2.0.Ce problème affecte un traitement inconnu de la page de profil personnel du composant.La manipulation conduit à des scripts de base du site croisé.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-242147. A vulnerability, which was classified as problematic, has been found in ZZZCMS 2.2.0. This issue affects some unknown processing of the component Personal Profile Page. The manipulation leads to basic cross site scripting. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-242147.	Vulnerability
	2023-10-14 13:15:09	CVE-2023-5581 (lien direct)	Une vulnérabilité classée comme problématique a été trouvée dans Sourcecodeter Medicine Tracker System 1.0.Cette vulnérabilité affecte le code inconnu du fichier index.php.La manipulation de la page d'argument conduit à des scripts croisés du site.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-242146 est l'identifiant attribué à cette vulnérabilité. A vulnerability classified as problematic was found in SourceCodester Medicine Tracker System 1.0. This vulnerability affects unknown code of the file index.php. The manipulation of the argument page leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-242146 is the identifier assigned to this vulnerability.	Vulnerability
	2023-10-14 12:15:10	CVE-2023-5579 (lien direct)	Une vulnérabilité a été trouvée dans le bac à sable YHZ66 6.1.0.Il a été considéré comme problématique.Ce problème est une fonctionnalité inconnue du fichier / im / utilisateur / du gestionnaire de données utilisateur des composants.La manipulation conduit à une divulgation d'informations.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-242144. A vulnerability was found in yhz66 Sandbox 6.1.0. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /im/user/ of the component User Data Handler. The manipulation leads to information disclosure. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-242144.	Vulnerability
	2023-10-14 12:15:10	CVE-2023-5580 (lien direct)	Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Library System 1.0.Cela affecte une partie inconnue du fichier index.php.La manipulation de la catégorie des arguments conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-242145 a été attribué à cette vulnérabilité. A vulnerability classified as critical has been found in SourceCodester Library System 1.0. This affects an unknown part of the file index.php. The manipulation of the argument category leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-242145 was assigned to this vulnerability.	Vulnerability
	2023-10-14 12:15:09	CVE-2023-1259 (lien direct)	Le plugin Hotjar pour WordPress est vulnérable aux scripts inter-sites stockés via le hotjar_site_id dans les versions jusqu'à et y compris 1.0.15 en raison de l'échappement insuffisant des entrées et de l'échappement de sortie.Cela permet aux attaquants authentifiés, avec les autorisations de niveau administrateur et au-dessus, d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.Cela n'affecte que les installations et les installations multi-sites où non filtré_html a été désactivé. The Hotjar plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the hotjar_site_id in versions up to, and including, 1.0.15 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled.
	2023-10-14 11:15:45	CVE-2023-5578 (lien direct)	Une vulnérabilité a été trouvée dans Port & Atilde; & iExcl; Bilis I-Educar jusqu'à 2,7,5.Il a été déclaré problématique.Cette vulnérabilité est une fonctionnalité inconnue du fichier \ intranet \ agenda_imprimir.php du gestionnaire de demande de get http composant.La manipulation de l'argument COD_agenda avec l'entrée "); \\ '> alerte (document.cookie) mène au script du site croisé. L'attaque peut être lancée à distance. L'exploit a été divulgué au publicet peut être utilisé. L'identifiant associé de cette vulnérabilité est VDB-242143. Remarque: Le fournisseur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de quelque manière que ce soit. A vulnerability was found in PortÃ¡bilis i-Educar up to 2.7.5. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file \intranet\agenda_imprimir.php of the component HTTP GET Request Handler. The manipulation of the argument cod_agenda with the input ");\'> alert(document.cookie) leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-242143. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-42780 (lien direct)	Apache Airflow, versions avant 2.7.2, contient une vulnérabilité de sécurité qui permet aux utilisateurs authentifiés de flux d'air de répertorier les avertissements pour tous les Dags, même si l'utilisateur n'avait pas la permission de voir ces Dags.Il révélerait le DAG_IDS et les traces de pile d'erreurs d'importation pour les Dags avec des erreurs d'importation. Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, versions prior to 2.7.2, contains a security vulnerability that allows authenticated users of Airflow to list warnings for all DAGs, even if the user had no permission to see those DAGs. It would reveal the dag_ids and the stack-traces of import errors for those DAGs with import errors. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-45348 (lien direct)	Apache Airflow, versions 2.7.0 et 2.7.1, est affectée par une vulnérabilité qui permet à un utilisateur authentifié de récupérer des informations de configuration sensibles lorsque l'option "Expose_Config" est définie sur "non sensible uniquement".L'option `Expose_config` est fausse par défaut. Il est recommandé de passer à une version qui n'est pas affectée. Apache Airflow, versions 2.7.0 and 2.7.1, is affected by a vulnerability that allows an authenticated user to retrieve sensitive configuration information when the "expose_config" option is set to "non-sensitive-only". The `expose_config` option is False by default. It is recommended to upgrade to a version that is not affected.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-42792 (lien direct)	Apache Air Flow, dans les versions avant 2.7.2, contient une vulnérabilité de sécurité qui permet à un utilisateur authentifié avec un accès limité à certains Dags, pour élaborer une demande qui pourrait donner à l'utilisateur un accès en écriture à diverses ressources DAG pour Dags que l'utilisateur n'avait pas accès à l'utilisateurAinsi, permettant ainsi à l'utilisateur de nettoyer les dags, il ne devrait pas. Les utilisateurs d'Apache Airflow sont fortement conseillé de passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, in versions prior to 2.7.2, contains a security vulnerability that allows an authenticated user with limited access to some DAGs, to craft a request that could give the user write access to various DAG resources for DAGs that the user had no access to, thus, enabling the user to clear DAGs they shouldn\'t. Users of Apache Airflow are strongly advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 10:15:09	CVE-2023-42663 (lien direct)	Apache Airflow, versions avant 2.7.2, a une vulnérabilité qui permet à un utilisateur autorisé qui a accès à lire uniquement des Dags spécifiques, de lire des informations sur les instances de tâche dans d'autres Dags. Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, versions before 2.7.2, has a vulnerability that allows an authorized user who has access to read specific DAGs only, to read information about task instances in other DAGs. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 05:15:55	CVE-2023-45855 (lien direct)	QDPM 9.2 permet à la traversée de répertoires de répertorier les fichiers et les répertoires en accédant à l'URI / Uploads. qdPM 9.2 allows Directory Traversal to list files and directories by navigating to the /uploads URI.
	2023-10-14 05:15:55	CVE-2023-45856 (lien direct)	QDPM 9.2 permet l'exécution du code distant en utilisant la fonctionnalité Ajouter des pièces jointes du projet d'édition pour télécharger un fichier .php sur / uri uri. qdPM 9.2 allows remote code execution by using the Add Attachments feature of Edit Project to upload a .php file to the /uploads URI.
	2023-10-14 05:15:55	CVE-2023-26155 (lien direct)	Toutes les versions du nœud de package-qpdf sont vulnérables à l'injection de commandes de telle sorte que la méthode exportée par le package Encrypt () ne parvient pas à désinfecter son entrée de paramètre, qui se déroule plus tard dans une API d'exécution de commandes sensible.Par conséquent, les attaquants peuvent injecter des commandes malveillantes une fois qu'ils peuvent spécifier le chemin de fichier PDF d'entrée. All versions of the package node-qpdf are vulnerable to Command Injection such that the package-exported method encrypt() fails to sanitize its parameter input, which later flows into a sensitive command execution API. As a result, attackers may inject malicious commands once they can specify the input pdf file path.
	2023-10-14 05:15:55	CVE-2023-44037 (lien direct)	Un problème dans ZPE Systems, Inc Nodegrid OS V.5.8.10 à V.5.8.13 et V.5.10.3 à V.5.10.5 permet à un attaquant distant d'obtenir des informations sensibles via le composant TACACS + Server. An issue in ZPE Systems, Inc Nodegrid OS v.5.8.10 thru v.5.8.13 and v.5.10.3 thru v.5.10.5 allows a remote attacker to obtain sensitive information via the TACACS+ server component.
	2023-10-14 04:15:11	CVE-2023-30154 (lien direct)	Neutralisation inappropriée multiple des paramètres SQL dans le module Aftermail (AftermailPresta) pour Prestashop, avant la version 2.2.1, permet aux attaquants distants d'effectuer des attaques d'injection SQL via `id_customer`,` id_conf`, `id_product` et` token` token` dans `aftermailaax.PHP via le paramètre \\ 'id_product \' dans Hooks DisplayRightColumnProduct et DisplayProductButtons. Multiple improper neutralization of SQL parameters in module AfterMail (aftermailpresta) for PrestaShop, before version 2.2.1, allows remote attackers to perform SQL injection attacks via `id_customer`, `id_conf`, `id_product` and `token` parameters in `aftermailajax.php via the \'id_product\' parameter in hooks DisplayRightColumnProduct and DisplayProductButtons.
	2023-10-14 04:15:10	CVE-2023-30148 (lien direct)	Vulnérabilités de script de script de site transversal multiples (XSS) dans OPART OPARTMultiHtmlblock avant la version 2.0.12 et OPART MultiHtmlBlock * version 1.0.0, permet aux utilisateurs authentifiés à distance d'injecter un script Web arbitraire ou HTML via le Body_Text ou Body_Text_Tex.et /sourcefiles/blockhtml.php. Multiple Stored Cross Site Scripting (XSS) vulnerabilities in Opart opartmultihtmlblock before version 2.0.12 and Opart multihtmlblock* version 1.0.0, allows remote authenticated users to inject arbitrary web script or HTML via the body_text or body_text_rude field in /sourcefiles/BlockhtmlClass.php and /sourcefiles/blockhtml.php.	Vulnerability
	2023-10-14 02:15:09	CVE-2023-45853 (lien direct)	Minizip dans ZLIB à 1.3 a un débordement entier et un débordement de tampon basé sur un tas dans ZipopenWFileInzip4_64 via un nom de fichier, un commentaire ou un champ supplémentaire.Remarque: Minizip n'est pas une partie prise en charge du produit ZLIB. MiniZip in zlib through 1.3 has an integer overflow and resultant heap-based buffer overflow in zipOpenNewFileInZip4_64 via a long filename, comment, or extra field. NOTE: MiniZip is not a supported part of the zlib product.
	2023-10-14 02:15:09	CVE-2023-45852 (lien direct)	In vitogate 300 2.1.3.0, /cgi-bin/vitogate.cgi permet à un attaquant non authentifié de contourner l'authentification et d'exécuter des commandes arbitraires via des métacharacteurs shell dans les données JSON params iPaddr pour la méthode de put. In Vitogate 300 2.1.3.0, /cgi-bin/vitogate.cgi allows an unauthenticated attacker to bypass authentication and execute arbitrary commands via shell metacharacters in the ipaddr params JSON data for the put method.
	2023-10-14 00:15:10	CVE-2023-45674 (lien direct)	Farmbot-Web-App est une interface de contrôle Web pour la plateforme Farmbot Farm Automation.Une vulnérabilité d'injection SQL a été trouvée dans l'application Web de FarmBot \\ qui permet aux attaquants authentifiés d'extraire des données arbitraires de sa base de données (y compris la table d'utilisateurs).Ce problème peut entraîner une divulgation d'informations.Ce problème a été corrigé dans la version 15.8.4.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème. Farmbot-Web-App is a web control interface for the Farmbot farm automation platform. An SQL injection vulnerability was found in FarmBot\'s web app that allows authenticated attackers to extract arbitrary data from its database (including the user table). This issue may lead to Information Disclosure. This issue has been patched in version 15.8.4. Users are advised to upgrade. There are no known workarounds for this issue.	Vulnerability
	2023-10-13 22:15:10	CVE-2023-4257 (lien direct)	Longueur d'entrée de l'utilisateur non contrôlé dans /subsys/net/l2/wifi/wifi_shell.c peut provoquer des débordements tampons. Unchecked user input length in /subsys/net/l2/wifi/wifi_shell.c can cause buffer overflows.
	2023-10-13 21:15:51	CVE-2023-36559 (lien direct)	Vulnérabilité de l'usurpation de Microsoft Edge (à base de chrome) Microsoft Edge (Chromium-based) Spoofing Vulnerability	Vulnerability
	2023-10-13 21:15:51	CVE-2023-4263 (lien direct)	Vulnérabilité potentielle de débordement de tampon dans le pilote Zephyr IEEE 802.15.4 NRF 15.4 Potential buffer overflow vulnerability in the Zephyr IEEE 802.15.4 nRF 15.4 driver	Vulnerability
	2023-10-13 20:15:10	CVE-2023-32974 (lien direct)	Une vulnérabilité de traversée de trajet a été rapportée pour plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs de lire le contenu des fichiers inattendus et d'exposer des données sensibles via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: QTS 5.1.0.2444 Build 20230629 et plus tard Quts Hero H5.1.0.2424 Build 20230609 et plus tard QUTSCLOUD C5.1.0.2498 et plus tard A path traversal vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to read the contents of unexpected files and expose sensitive data via a network. We have already fixed the vulnerability in the following versions: QTS 5.1.0.2444 build 20230629 and later QuTS hero h5.1.0.2424 build 20230609 and later QuTScloud c5.1.0.2498 and later	Vulnerability
	2023-10-13 20:15:10	CVE-2023-32976 (lien direct)	Une vulnérabilité d'injection de commande OS a été signalée pour affecter la station de conteneurs.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés d'exécuter des commandes via un réseau. Nous avons déjà corrigé la vulnérabilité dans la version suivante: Station de conteneurs 2.6.7.44 et plus tard An OS command injection vulnerability has been reported to affect Container Station. If exploited, the vulnerability could allow authenticated administrators to execute commands via a network. We have already fixed the vulnerability in the following version: Container Station 2.6.7.44 and later	Vulnerability
	2023-10-13 20:15:10	CVE-2023-34976 (lien direct)	Il a été rapporté qu'une vulnérabilité d'injection SQL affecte la station vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau. Nous avons déjà corrigé la vulnérabilité dans la version suivante: Station vidéo 5.7.0 (2023/07/27) et plus tard A SQL injection vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later	Vulnerability
	2023-10-13 20:15:10	CVE-2023-34977 (lien direct)	Une vulnérabilité des scripts croisés (XSS) a été signalée au stade vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau. Nous avons déjà corrigé la vulnérabilité dans la version suivante: Station vidéo 5.7.0 (2023/07/27) et plus tard A cross-site scripting (XSS) vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later	Vulnerability
	2023-10-13 20:15:10	CVE-2023-34975 (lien direct)	Il a été rapporté qu'une vulnérabilité d'injection SQL affecte la station vidéo.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés d'injecter du code malveillant via un réseau. Nous avons déjà corrigé la vulnérabilité dans la version suivante: Station vidéo 5.7.0 (2023/07/27) et plus tard A SQL injection vulnerability has been reported to affect Video Station. If exploited, the vulnerability could allow authenticated users to inject malicious code via a network. We have already fixed the vulnerability in the following version: Video Station 5.7.0 ( 2023/07/27 ) and later	Vulnerability
	2023-10-13 20:15:09	CVE-2023-32970 (lien direct)	Une vulnérabilité de déréférence du pointeur nulle a été rapportée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés de lancer une attaque de déni de service (DOS) via un réseau. Les QES ne sont pas affectés. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: Quts Hero H5.0.1.2515 Build 20230907 et plus tard Quts Hero H5.1.0.2453 Build 20230708 et plus tard QUTS Hero H4.5.4.2476 Build 20230728 et plus tard QUTSCLOUD C5.1.0.2498 et plus tard QTS 5.1.0.2444 Build 20230629 et plus tard QTS 4.5.4.2467 Build 20230718 et plus tard A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated administrators to launch a denial-of-service (DoS) attack via a network. QES is not affected. We have already fixed the vulnerability in the following versions: QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.0.2453 build 20230708 and later QuTS hero h4.5.4.2476 build 20230728 and later QuTScloud c5.1.0.2498 and later QTS 5.1.0.2444 build 20230629 and later QTS 4.5.4.2467 build 20230718 and later	Vulnerability
	2023-10-13 20:15:09	CVE-2023-32973 (lien direct)	Une copie de tampon sans vérifier la taille de la vulnérabilité d'entrée a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux administrateurs authentifiés d'exécuter du code via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: QTS 5.0.1.2425 Build 20230609 et plus tard QTS 5.1.0.2444 Build 20230629 et plus tard QTS 4.5.4.2467 Build 20230718 et plus tard Quts Hero H5.0.1.2515 Build 20230907 et plus tard Quts Hero H5.1.0.2424 Build 20230609 et plus tard QUTS Hero H4.5.4.2476 Build 20230728 et plus tard QUTSCLOUD C5.1.0.2498 et plus tard A buffer copy without checking size of input vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated administrators to execute code via a network. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2425 build 20230609 and later QTS 5.1.0.2444 build 20230629 and later QTS 4.5.4.2467 build 20230718 and later QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.0.2424 build 20230609 and later QuTS hero h4.5.4.2476 build 20230728 and later QuTScloud c5.1.0.2498 and later	Vulnerability
	2023-10-13 17:15:09	CVE-2023-5409 (lien direct)	HP est conscient d'une vulnérabilité de sécurité potentielle dans HP T430 et T638 MIND Client PCS.Ces modèles peuvent être sensibles à une attaque physique, permettant à une source non fiable de falsifier le firmware du système à l'aide d'une clé privée divulguée publiquement.HP fournit des conseils recommandés aux clients afin de réduire l'exposition à la vulnérabilité potentielle. HP is aware of a potential security vulnerability in HP t430 and t638 Thin Client PCs. These models may be susceptible to a physical attack, allowing an untrusted source to tamper with the system firmware using a publicly disclosed private key. HP is providing recommended guidance for customers to reduce exposure to the potential vulnerability.	Vulnerability
	2023-10-13 17:15:09	CVE-2023-4499 (lien direct)	Une vulnérabilité de sécurité potentielle a été identifiée dans l'utilitaire HP FinUpdate (également connu sous le nom de HP Recovery Image and Software Download Tool) qui peut conduire à une divulgation d'informations.HP libére l'atténuation de la vulnérabilité potentielle. A potential security vulnerability has been identified in the HP ThinUpdate utility (also known as HP Recovery Image and Software Download Tool) which may lead to information disclosure. HP is releasing mitigation for the potential vulnerability.	Vulnerability
	2023-10-13 17:15:09	CVE-2023-5449 (lien direct)	Une vulnérabilité de sécurité potentielle a été identifiée dans certains écrans HP prenant en charge la fonction de dissuasion du vol qui peut permettre à une dissuasion du moniteur et aciro; A potential security vulnerability has been identified in certain HP Displays supporting the Theft Deterrence feature which may allow a monitorâ€™s Theft Deterrence to be deactivated.	Vulnerability
	2023-10-13 16:15:13	CVE-2023-45276 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans AutomatedEditor.com Plugin de l'éditeur automatisé	Vulnerability
	2023-10-13 16:15:12	CVE-2023-45270 (lien direct)	Vulnérabilité de la contrefaçon de demande de site transversal (CSRF) dans PINPOINT.World Pinpoint Booking System Plugin	Vulnerability
	2023-10-13 16:15:12	CVE-2023-45269 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de référencement simple de David Cole	Vulnerability
	2023-10-13 16:15:11	CVE-2023-40682 (lien direct)	IBM App Connect Enterprise 12.0.1.0 à 12.0.8.0 contient une vulnérabilité non spécifiée qui pourrait permettre à un utilisateur privilégié local d'obtenir des informations sensibles à partir des journaux API.IBM X-FORCE ID: 263833. IBM App Connect Enterprise 12.0.1.0 through 12.0.8.0 contains an unspecified vulnerability that could allow a local privileged user to obtain sensitive information from API logs. IBM X-Force ID: 263833.	Vulnerability
	2023-10-13 15:15:44	CVE-2023-41836 (lien direct)	Une neutralisation inappropriée de la saisie pendant la génération de pages Web (\\ 'script inter-site \') dans Fortinet FortisandBoxVersion 4.4.0 et 4.2.0 à 4.2.4, et 4.0.0 à 4.0.4 et 3.2.0 à 3.2.4 et 3.1.0 à 3.1.5 et 3.0.4à travers 3.0.7 Permet à l'attaquant d'exécuter du code ou des commandes non autorisés via des demandes HTTP fabriquées. An improper neutralization of input during web page generation (\'cross-site scripting\') in Fortinet FortiSandbox version 4.4.0 and 4.2.0 through 4.2.4, and 4.0.0 through 4.0.4 and 3.2.0 through 3.2.4 and 3.1.0 through 3.1.5 and 3.0.4 through 3.0.7 allows attacker to execute unauthorized code or commands via crafted HTTP requests.
	2023-10-13 15:15:44	CVE-2023-45268 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin d'analyse Web HitSteps Hitsteps	Vulnerability
	2023-10-13 15:15:44	CVE-2023-41681 (lien direct)	Une neutralisation incorrecte des entrées lors de la génération de pages Web (\\ 'script inter-site \') dans Fortinet FortisandBox version 4.4.1et 4.4.0 et 4.2.0 à 4.2.5 et 4.0.0 à 4.0.3 et 3.2.0 à 3.2.4 et 3.1.0 à 3.1.5 et 3.0.0 à 3.0.7et 2.5.0 à 2.5.2 et 2.4.1 permet à l'attaquant d'exécuter du code ou des commandes non autorisés via des demandes HTTP fabriquées. A improper neutralization of input during web page generation (\'cross-site scripting\') in Fortinet FortiSandbox version 4.4.1 and 4.4.0 and 4.2.0 through 4.2.5 and 4.0.0 through 4.0.3 and 3.2.0 through 3.2.4 and 3.1.0 through 3.1.5 and 3.0.0 through 3.0.7 and 2.5.0 through 2.5.2 and 2.4.1 allows attacker to execute unauthorized code or commands via crafted HTTP requests.
	2023-10-13 15:15:44	CVE-2023-41843 (lien direct)	Une neutralisation incorrecte de l'entrée pendant la génération de pages Web (\\ 'scripting inter-site \') dans Fortinet FortisandBox version 4.4.1 et 4.4.0 et 4.2.0 à 4.2.5 et 4.0.0 à 4.0.3 permet à l'attaquantPour exécuter du code ou des commandes non autorisés via des demandes HTTP conçues. A improper neutralization of input during web page generation (\'cross-site scripting\') in Fortinet FortiSandbox version 4.4.1 and 4.4.0 and 4.2.0 through 4.2.5 and 4.0.0 through 4.0.3 allows attacker to execute unauthorized code or commands via crafted HTTP requests.
	2023-10-13 15:15:44	CVE-2023-41682 (lien direct)	Une limitation inappropriée d'un chemin d'accès à un répertoire restreint (\\ 'trajet de chemin \') dans Fortinet Fortisandbox version 4.4.0 et 4.2.0 à 4.2.5 et 4.0.0 à 4.0.3 et 3.2.0 à 3.2.4 et 2.5.0 à 2.5.2 et 2.4.1 et 2.4.0 permet à l'attaquant de refuser le service via des demandes HTTP fabriquées. A improper limitation of a pathname to a restricted directory (\'path traversal\') in Fortinet FortiSandbox version 4.4.0 and 4.2.0 through 4.2.5 and 4.0.0 through 4.0.3 and 3.2.0 through 3.2.4 and 2.5.0 through 2.5.2 and 2.4.1 and 2.4.0 allows attacker to denial of service via crafted http requests.
	2023-10-13 15:15:44	CVE-2023-45267 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin zizou1988 irivyou	Vulnerability

Last update at: 2024-06-28 15:07:58
See our sources.

To see everything: Our RSS (filtrered)