What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-04 12:15:10 | CVE-2023-4090 (lien direct) | Le script de site transversal (XSS) a reflété la vulnérabilité sur la version plus large et 5.3.5, qui génère l'une des balises Meta directement en utilisant le contenu de l'URL interrogé, qui permettrait à un attaquant d'injecter du code HTML / JavaScript dans la réponse.
Cross-site Scripting (XSS) reflected vulnerability on WideStand until 5.3.5 version, which generates one of the meta tags directly using the content of the queried URL, which would allow an attacker to inject HTML/Javascript code into the response. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-43261 (lien direct) | Une divulgation d'informations dans Milesight UR5X, UR32L, UR32, UR35, UR41 avant V35.3.0.7 permet aux attaquants d'accéder aux composants du routeur sensible.
An information disclosure in Milesight UR5X, UR32L, UR32, UR35, UR41 before v35.3.0.7 allows attackers to access sensitive router components. |
|||
|
2023-10-04 12:15:10 | CVE-2023-3361 (lien direct) | Une faille a été trouvée dans Red Hat OpenShift Data Science.Lors de l'exportation d'un pipeline à partir de l'éditeur de pipeline Elyra Notebook en tant que Python DSL ou YAML, il lit les informations d'identification S3 à partir du cluster (DS Pipeline Server) et les enregistre en texte brut dans la sortie générée au lieu d'un ID pour un secret de Kubernetes.
A flaw was found in Red Hat OpenShift Data Science. When exporting a pipeline from the Elyra notebook pipeline editor as Python DSL or YAML, it reads S3 credentials from the cluster (ds pipeline server) and saves them in plain text in the generated output instead of an ID for a Kubernetes secret. |
Uber | ||
|
2023-10-04 12:15:10 | CVE-2023-4037 (lien direct) | Vulnérabilité d'injection SQL aveugle dans l'interface Web ConacWin 3.7.1.2, dont l'exploitation pourrait permettre à un attaquant local d'obtenir des données sensibles stockées dans la base de données en envoyant une requête SQL spécialement conçue au paramètre XML.
Blind SQL injection vulnerability in the Conacwin 3.7.1.2 web interface, the exploitation of which could allow a local attacker to obtain sensitive data stored in the database by sending a specially crafted SQL query to the xml parameter. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-3153 (lien direct) | Une faille a été trouvée dans un réseau virtuel ouvert où le MAC du moniteur de service ne note pas correctement la limite.Ce problème pourrait permettre à un attaquant de provoquer un déni de service, y compris sur les déploiements avec COPP activés et correctement configurés.
A flaw was found in Open Virtual Network where the service monitor MAC does not properly rate limit. This issue could allow an attacker to cause a denial of service, including on deployments with CoPP enabled and properly configured. |
|||
|
2023-10-04 12:15:10 | CVE-2023-3038 (lien direct) | Vulnérabilité de l'injection SQL dans la communauté Helpdezk affectant la version 1.1.10.Cette vulnérabilité pourrait permettre à un attaquant distant d'envoyer une requête SQL spécialement conçue au paramètre des lignes de la route Jsongrid et d'extraire toutes les informations stockées dans l'application.
SQL injection vulnerability in HelpDezk Community affecting version 1.1.10. This vulnerability could allow a remote attacker to send a specially crafted SQL query to the rows parameter of the jsonGrid route and extract all the information stored in the application. |
Vulnerability | ||
|
2023-10-04 12:15:10 | CVE-2023-22618 (lien direct) | Si les règles du Guide de durcissement de la sécurité ne sont pas suivies, alors les produits Nokia Wavelite permettent à un localUtilisateur pour créer de nouveaux utilisateurs avec des privilèges administratifs en manipulant une demande Web.Cela affecte (par exemple) le métro-ondette 200 et le fan, le métro-ulbalélite Metro 200 Ops et les ventilateurs, les ventilateurs de métro-ondelite 200 et F2B, les ventilateurs de Metro 200 Wavelite Metro 200 et les ventilateurs F2B, les ventilateurs Wavelite Metro 200 NE et F2B, et Wavelite Metro 200 NE OPS et F2B et F2BVentilateurs.
If Security Hardening guide rules are not followed, then Nokia WaveLite products allow a local user to create new users with administrative privileges by manipulating a web request. This affects (for example) WaveLite Metro 200 and Fan, WaveLite Metro 200 OPS and Fans, WaveLite Metro 200 and F2B fans, WaveLite Metro 200 OPS and F2B fans, WaveLite Metro 200 NE and F2B fans, and WaveLite Metro 200 NE OPS and F2B fans. |
|||
|
2023-10-04 12:15:10 | CVE-2023-44208 (lien direct) | Divulgation et manipulation d'informations sensibles dues à l'autorisation manquante.Les produits suivants sont affectés: Acronis Cyber Protect Home Office (Windows) avant la construction 40713.
Sensitive information disclosure and manipulation due to missing authorization. The following products are affected: Acronis Cyber Protect Home Office (Windows) before build 40713. |
|||
|
2023-10-04 11:15:10 | CVE-2023-4586 (lien direct) | Une vulnérabilité a été trouvée dans le client Hot Rod.Ce problème de sécurité se produit car le client Hot Rod ne permet pas la validation du nom d'hôte lors de l'utilisation de TLS, entraînant peut-être une attaque de l'homme dans le milieu (MITM).
A vulnerability was found in the Hot Rod client. This security issue occurs as the Hot Rod client does not enable hostname validation when using TLS, possibly resulting in a man-in-the-middle (MITM) attack. |
Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-25980 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Cage Web Design |Rolf Van Gelder optimiser la base de données après la suppression du plugin de révisions | Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-37995 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Chetan Gole WP-CopyProtect [Protégez vos articles de blog] Plugin | Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-2809 (lien direct) | Vulnérabilité d'utilisation des informations d'identification en clair dans la version Sage 200 Espagne 2023.38.001, dont l'exploitation pourrait permettre à un attaquant distant d'extraire les informations d'identification de la base de données SQL de l'application DLL.Cette vulnérabilité pourrait être liée à des techniques connues pour obtenir une exécution à distance des commandes MS SQL et augmenter les privilèges sur les systèmes Windows car les informations d'identification sont stockées en texte en clair.
Plaintext credential usage vulnerability in Sage 200 Spain 2023.38.001 version, the exploitation of which could allow a remote attacker to extract SQL database credentials from the DLL application. This vulnerability could be linked to known techniques to obtain remote execution of MS SQL commands and escalate privileges on Windows systems because the credentials are stored in plaintext. |
Vulnerability | ||
|
2023-10-04 11:15:10 | CVE-2023-2422 (lien direct) | Une faille a été trouvée à Keycloak.Un serveur KeyCloak configuré pour prendre en charge l'authentification MTLS pour les clients OAuth / OpenID ne vérifie pas correctement la chaîne de certificat client.Un client qui possède un certificat approprié peut s'autoriser comme tout autre client, donc, accédez aux données qui appartiennent à d'autres clients.
A flaw was found in Keycloak. A Keycloak server configured to support mTLS authentication for OAuth/OpenID clients does not properly verify the client certificate chain. A client that possesses a proper certificate can authorize itself as any other client, therefore, access data that belongs to other clients. |
|||
|
2023-10-04 11:15:10 | CVE-2023-4997 (lien direct) | Une mauvaise autorisation des utilisateurs réguliers dans le logiciel DC de disponibilité Prointegra (versions inférieures à 2.0.0.33940) leur permet de modifier les mots de passe de tous les autres utilisateurs, y compris les administrateurs menant à une escalade de privilège.
Improper authorisation of regular users in ProIntegra Uptime DC software (versions below 2.0.0.33940) allows them to change passwords of all other users including administrators leading to a privilege escalation. |
|||
|
2023-10-04 11:15:10 | CVE-2023-3701 (lien direct) | Aqua Drive, dans sa version 2.4, est vulnérable à une vulnérabilité de traversée de chemin relatif.En exploitant cette vulnérabilité, un utilisateur non privilégié authentifié pourrait accéder / modifier les ressources stockées d'autres utilisateurs.Il pourrait également être possible d'accéder et de modifier les fichiers source et de configuration de la plate-forme de disque cloud, affectant l'intégrité et la disponibilité de l'ensemble de la plate-forme.
Aqua Drive, in its 2.4 version, is vulnerable to a relative path traversal vulnerability. By exploiting this vulnerability, an authenticated non privileged user could access/modify stored resources of other users. It could also be possible to access and modify the source and configuration files of the cloud disk platform, affecting the integrity and availability of the entire platform. |
Cloud | ||
|
2023-10-04 11:15:10 | CVE-2023-3512 (lien direct) | Vulnérabilité de traversée de chemin relatif dans Conacwin CB de Setelsa Security \\, dans sa version 3.8.2.2 et plus tôt, dont l'exploitation pourrait permettre à un attaquant d'effectuer un téléchargement arbitraire de fichiers du système via le paramètre "Fichier de téléchargement".
Relative path traversal vulnerability in Setelsa Security\'s ConacWin CB, in its 3.8.2.2 version and earlier, the exploitation of which could allow an attacker to perform an arbitrary download of files from the system via the "Download file" parameter. |
Vulnerability | ||
|
2023-10-04 11:15:09 | CVE-2023-25788 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Saphali Saphali WooCommerce Lite Plugin | Vulnerability | ||
|
2023-10-04 11:15:09 | CVE-2023-25489 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le thème et les plugins de mise à jour de Jeff Sherk à partir des versions de plugin de fichiers ZIP | Vulnerability | ||
|
2023-10-04 11:15:09 | CVE-2023-1584 (lien direct) | Une faille a été trouvée dans Quarkus.Quarkus OIDC peut divulguer à la fois des jetons d'ID et d'accès dans le flux de code d'autorisation lorsqu'un protocole HTTP insécurisé est utilisé, ce qui peut permettre aux attaquants d'accéder aux données utilisateur sensibles directement à partir du jeton ID ou en utilisant le jeton d'accès pour accéder aux données utilisateur à partir des services de fournisseur OIDC.Veuillez noter que les mots de passe ne sont pas stockés dans les jetons d'accès.
A flaw was found in Quarkus. Quarkus OIDC can leak both ID and access tokens in the authorization code flow when an insecure HTTP protocol is used, which can allow attackers to access sensitive user data directly from the ID token or by using the access token to access user data from OIDC provider services. Please note that passwords are not stored in access tokens. |
|||
|
2023-10-04 10:15:10 | CVE-2023-5377 (lien direct) | LIRE DE LIRE DANS LE RECORD GPAC GPAC / GPAC AVANT V2.2.2-DEV.
Out-of-bounds Read in GitHub repository gpac/gpac prior to v2.2.2-DEV. |
|||
|
2023-10-04 09:15:31 | CVE-2023-5375 (lien direct) | Redirection ouverte dans le référentiel GitHub Mosparo / Mosparo avant 1.0.2.
Open Redirect in GitHub repository mosparo/mosparo prior to 1.0.2. |
|||
|
2023-10-04 09:15:31 | CVE-2023-44272 (lien direct) | Une vulnérabilité de script inter-sites existe dans les versions Citadel avant 994. Lorsqu'un utilisateur malveillant envoie un message instantané avec un code JavaScript, le script peut être exécuté sur le navigateur Web de l'utilisateur de la victime.
A cross-site scripting vulnerability exists in Citadel versions prior to 994. When a malicious user sends an instant message with some JavaScript code, the script may be executed on the web browser of the victim user. |
Vulnerability | ||
|
2023-10-04 04:15:15 | CVE-2023-5370 (lien direct) | Sur CPU 0, le chèque pour la solution de contournement SMCCC est appelé avant l'initialisation du support SMCCC.Cela n'a entraîné aucune installation de contournement d'exécution spéculative sur CPU 0.
On CPU 0 the check for the SMCCC workaround is called before SMCCC support has been initialized. This resulted in no speculative execution workarounds being installed on CPU 0. |
|||
|
2023-10-04 04:15:14 | CVE-2023-5369 (lien direct) | Avant la correction, le & acirc; & nbsp; copy_file_range & acirc; & nbsp; appel système vérifié uniquement pour les capacités CAP_READ et CAP_WRITE sur les descripteurs de fichiers d'entrée et de sortie, respectivement.L'utilisation d'un décalage est logiquement équivalent à la recherche, et l'appel système doit en outre nécessiter la capacité CAP_seek.
Ce privilège incorrect vérifie les processus sandboxes avec uniquement la lecture ou l'écriture, mais aucune capacité de recherche sur un descripteur de fichier pour lire des données ou écrire des données à un emplacement arbitraire dans le fichier correspondant à ce descripteur de fichier.
Before correction, the copy_file_range system call checked only for the CAP_READ and CAP_WRITE capabilities on the input and output file descriptors, respectively. Using an offset is logically equivalent to seeking, and the system call must additionally require the CAP_SEEK capability. This incorrect privilege check enabled sandboxed processes with only read or write but no seek capability on a file descriptor to read data from or write data to an arbitrary location within the file corresponding to that file descriptor. |
|||
|
2023-10-04 04:15:14 | CVE-2023-5368 (lien direct) | Sur un système de fichiers MSDOSFS, les appels système \\ 'truncate \' ou \\ 'ftruncate \' dans certaines circonstances remplissent l'espace supplémentaire dans le fichier avec des données non allouées du dispositif de disque sous-jacent, plutôt que zéro octets.
Cela peut permettre à un utilisateur ayant un accès en écriture à des fichiers sur un système de fichiers MSDOSFS pour lire des données involontaires (par exemple à partir d'un fichier précédemment supprimé).
On an msdosfs filesystem, the \'truncate\' or \'ftruncate\' system calls under certain circumstances populate the additional space in the file with unallocated data from the underlying disk device, rather than zero bytes. This may permit a user with write access to files on a msdosfs filesystem to read unintended data (e.g. from a previously deleted file). |
|||
|
2023-10-04 04:15:13 | CVE-2023-30735 (lien direct) | Une mauvaise préservation de la vulnérabilité des autorisations dans le sassistant avant la version 8.7 permet aux attaquants locaux d'accéder aux données de sauvegarde en sassistant.
Improper Preservation of Permissions vulnerability in SAssistant prior to version 8.7 allows local attackers to access backup data in SAssistant. |
Vulnerability | ||
|
2023-10-04 04:15:13 | CVE-2023-30738 (lien direct) | Une mauvaise validation des entrées dans le firmware UEFI avant la mise à jour du micrologiciel OCT-2023 dans Galaxy Book, Galaxy Book Pro, Galaxy Book Pro 360 et Galaxy Book Odyssey permet à l'attaquant local d'exécuter la corruption de la mémoire SMM.
An improper input validation in UEFI Firmware prior to Firmware update Oct-2023 Release in Galaxy Book, Galaxy Book Pro, Galaxy Book Pro 360 and Galaxy Book Odyssey allows local attacker to execute SMM memory corruption. |
|||
|
2023-10-04 04:15:13 | CVE-2023-30733 (lien direct) | Le débordement de tampon basé sur la pile dans la vulnérabilité HDCP Trustlet avant SMR OCT-2023 La version 1 permet à l'attaquant d'effectuer l'exécution de code.
Stack-based Buffer Overflow in vulnerability HDCP trustlet prior to SMR Oct-2023 Release 1 allows attacker to perform code execution. |
Vulnerability | ||
|
2023-10-04 04:15:13 | CVE-2023-30737 (lien direct) | Une vulnérabilité de contrôle d'accès incorrect dans Samsung Health avant la version 6.24.3.007 permet aux attaquants d'accéder aux informations sensibles via une intention implicite.
Improper access control vulnerability in Samsung Health prior to version 6.24.3.007 allows attackers to access sensitive information via implicit intent. |
Vulnerability | ||
|
2023-10-04 04:15:13 | CVE-2023-30736 (lien direct) | Une mauvaise autorisation dans PushmsGreceiver de Samsung Assistant avant la version 8.7.00.1 permet à l'attaquant d'exécuter l'interface JavaScript.Pour déclencher cette vulnérabilité, l'interaction utilisateur est requise.
Improper authorization in PushMsgReceiver of Samsung Assistant prior to version 8.7.00.1 allows attacker to execute javascript interface. To trigger this vulnerability, user interaction is required. |
|||
|
2023-10-04 04:15:13 | CVE-2023-30734 (lien direct) | Une vulnérabilité de contrôle d'accès incorrect dans Samsung Health avant la version 6.24.3.007 permet aux attaquants d'accéder aux informations sensibles via une intention implicite.
Improper access control vulnerability in Samsung Health prior to version 6.24.3.007 allows attackers to access sensitive information via implicit intent. |
Vulnerability | ||
|
2023-10-04 04:15:12 | CVE-2023-30690 (lien direct) | Une mauvaise vulnérabilité de validation des entrées dans DUO avant le SMR OCT-2023, la version 1 permet aux attaquants locaux de lancer des activités privilégiées.
Improper input validation vulnerability in Duo prior to SMR Oct-2023 Release 1 allows local attackers to launch privileged activities. |
Vulnerability | ||
|
2023-10-04 04:15:12 | CVE-2023-30731 (lien direct) | Erreur logique dans l'installation de package via la commande Debugger avant SMR OCT-2023 La version 1 permet à l'attaquant physique d'installer une application qui a un type de build différent.
Logic error in package installation via debugger command prior to SMR Oct-2023 Release 1 allows physical attacker to install an application that has different build type. |
|||
|
2023-10-04 04:15:12 | CVE-2023-30692 (lien direct) | La vulnérabilité de validation d'entrée incorrecte dans l'évaluateur avant le SMR OCT-2023, la version 1 permet aux attaquants locaux de lancer des activités privilégiées.
Improper input validation vulnerability in Evaluator prior to SMR Oct-2023 Release 1 allows local attackers to launch privileged activities. |
Vulnerability | ||
|
2023-10-04 04:15:12 | CVE-2023-30727 (lien direct) | La vulnérabilité de contrôle d'accès incorrect dans SecSettings avant SMR OCT-2023 La version 1 permet aux attaquants d'activer le Wi-Fi et de connecter le Wi-Fi arbitraire sans interaction utilisateur.
Improper access control vulnerability in SecSettings prior to SMR Oct-2023 Release 1 allows attackers to enable Wi-Fi and connect arbitrary Wi-Fi without User Interaction. |
Vulnerability | ||
|
2023-10-04 04:15:12 | CVE-2023-30732 (lien direct) | Un contrôle d'accès incorrect dans la propriété système avant SMR OCT-2023 La version 1 permet à l'attaquant local d'obtenir le numéro de série du processeur.
Improper access control in system property prior to SMR Oct-2023 Release 1 allows local attacker to get CPU serial number. |
|||
|
2023-10-04 02:15:10 | CVE-2023-5291 (lien direct) | Le plugin de filtre de blog pour WordPress est vulnérable aux scripts inter-sites stockés via \\ 'awl-blogfilter \' shortcode en versions jusqu'à et incluant 1.5.3 en raison d'une désinfection d'entrée et d'une sortie insuffisantes sur les attributs fournis par l'utilisateur.Cela permet aux attaquants authentifiés avec des autorisations au niveau des contributeurs et au-dessus d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The Blog Filter plugin for WordPress is vulnerable to Stored Cross-Site Scripting via \'AWL-BlogFilter\' shortcode in versions up to, and including, 1.5.3 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers with contributor-level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-10-04 02:15:10 | CVE-2023-5357 (lien direct) | Le plugin Instagram pour WordPress pour WordPress est vulnérable aux scripts inter-sites stockés via les shortcodes dans les versions jusqu'à et y compris 2.1.6 en raison de la désinfection et de la sortie des entrées insuffisantes sur les attributs fournis par l'utilisateur.Cela permet aux attaquants authentifiés avec des autorisations au niveau des contributeurs et au-dessus d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The Instagram for WordPress plugin for WordPress is vulnerable to Stored Cross-Site Scripting via shortcodes in versions up to, and including, 2.1.6 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers with contributor-level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-10-04 02:15:09 | CVE-2023-37404 (lien direct) | L'observabilité IBM avec Instana 1.0.243 à 1.0.254 pourrait permettre à un attaquant sur le réseau d'exécuter du code arbitraire sur l'hôte après une attaque d'empoisonnement DNS réussie.IBM X-FORCE ID: 259789.
IBM Observability with Instana 1.0.243 through 1.0.254 could allow an attacker on the network to execute arbitrary code on the host after a successful DNS poisoning attack. IBM X-Force ID: 259789. |
|||
|
2023-10-04 02:15:09 | CVE-2023-3213 (lien direct) | Le plugin WP Mail SMTP Pro pour WordPress est vulnérable à l'accès non autorisé des données en raison d'une vérification de capacité manquante sur la fonction is_print_page dans les versions jusqu'à et incluant 3.8.0.Cela permet aux attaquants non authentifiés de divulguer des informations par e-mail potentiellement sensibles.
The WP Mail SMTP Pro plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the is_print_page function in versions up to, and including, 3.8.0. This makes it possible for unauthenticated attackers to disclose potentially sensitive email information. |
|||
|
2023-10-04 01:15:50 | CVE-2023-35905 (lien direct) | IBM FileNet Content Manager 5.5.8, 5.5.10 et 5.5.11 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 259384.
IBM FileNet Content Manager 5.5.8, 5.5.10, and 5.5.11 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 259384. |
Vulnerability | ||
|
2023-10-04 00:15:11 | CVE-2022-22447 (lien direct) | IBM Disconnected Log Collector 1.0 à 1.8.2 est vulnérable aux erreurs de sécurité potentielles qui pourraient divulguer des informations involontaires.IBM X-FORCE ID: 224648.
IBM Disconnected Log Collector 1.0 through 1.8.2 is vulnerable to potential security misconfigurations that could disclose unintended information. IBM X-Force ID: 224648. |
|||
|
2023-10-03 23:15:09 | CVE-2023-39647 (lien direct) | Neutralisation incorrecte du paramètre SQL dans le module de produit de catégorie CMS Volty CMS pour Prestashop.Dans le module & acirc; & euro; & oelig; thème Volty CMS Catégorie Produit & acirc; & euro; & # 65533;(TVCMSCategoryProduct) Jusqu'à la version 4.0.1 de Theme Volty pour Prestashop, un invité peut effectuer l'injection SQL dans les versions affectées.
Improper neutralization of SQL parameter in Theme Volty CMS Category Product module for PrestaShop. In the module “Theme Volty CMS Category Product� (tvcmscategoryproduct) up to version 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. |
|||
|
2023-10-03 22:15:10 | CVE-2023-39648 (lien direct) | Neutralisation incorrecte du paramètre SQL dans le module de témoignage du thème Volty CMS pour Prestashop.Dans le module & acirc; & euro; & oelig; thème Volty CMS Témoignage & acirc; & euro; & # 65533;(TVCMSTESTIMONIAL) jusqu'à la version 4.0.1 de Theme Volty pour Prestashop, un invité peut effectuer l'injection SQL dans les versions affectées.
Improper neutralization of SQL parameter in Theme Volty CMS Testimonial module for PrestaShop. In the module “Theme Volty CMS Testimonial� (tvcmstestimonial) up to version 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. |
|||
|
2023-10-03 22:15:10 | CVE-2023-39646 (lien direct) | Neutralisation incorrecte du paramètre SQL dans le module de curseur de la chaîne de catégorie Volty CMS pour le thème pour Prestashop.Dans le module & acirc; & euro; & oelig; thème Volty CMS Catégory Chain Slide "(TVCMSCATEGORYCHAINLIDER) jusqu'à la version 4.0.1 de Theme Volty pour Prestashop, un invité peut effectuer l'injection SQL dans les versions affectées.
Improper neutralization of SQL parameter in Theme Volty CMS Category Chain Slider module for PrestaShop. In the module “Theme Volty CMS Category Chain Slide"(tvcmscategorychainslider) up to version 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. |
|||
|
2023-10-03 22:15:10 | CVE-2023-39651 (lien direct) | Neutralisation incorrecte du paramètre SQL dans le thème Volty CMS BrandList Module pour Prestashop dans le module & acirc; & euro; & oelig; thème Volty CMS Brandlist & acirc; & euro; & # 65533;(tvcmsbrandlist)Jusqu'à la version 4.0.1 de Theme Volty pour Prestashop, un invité peut effectuer l'injection SQL dans les versions affectées.
Improper neutralization of SQL parameter in Theme Volty CMS BrandList module for PrestaShop In the module “Theme Volty CMS BrandList� (tvcmsbrandlist) up to version 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. |
|||
|
2023-10-03 22:15:10 | CVE-2023-39649 (lien direct) | Neutralisation incorrecte du paramètre SQL dans le module de curseur de catégorie CMS Volty CMS pour le thème pour Prestashop.Dans le module & acirc; & euro; & oelig; thème Volty CMS Catégorie Slider & acirc; & euro; & # 65533;(TVCMSCategorySlider) Jusqu'à la version 4.0.1 de Theme Volty pour Prestashop, un invité peut effectuer l'injection SQL dans les versions affectées.
Improper neutralization of SQL parameter in Theme Volty CMS Category Slider module for PrestaShop. In the module “Theme Volty CMS Category Slider� (tvcmscategoryslider) up to version 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. |
|||
|
2023-10-03 21:15:10 | CVE-2023-44973 (lien direct) | Une vulnérabilité de téléchargement de fichiers arbitraires dans le composant / contenu / modèles / d'Emlog Pro V2.2.0 permet aux attaquants d'exécuter du code arbitraire via le téléchargement d'un fichier PHP fabriqué.
An arbitrary file upload vulnerability in the component /content/templates/ of Emlog Pro v2.2.0 allows attackers to execute arbitrary code via uploading a crafted PHP file. |
Vulnerability | ||
|
2023-10-03 21:15:10 | CVE-2023-43951 (lien direct) | SSCMS 7.2.2 a été découvert qu'il contenait une vulnérabilité de script de sites croisés (XSS) via le composant de gestion des colonnes.
SSCMS 7.2.2 was discovered to contain a cross-site scripting (XSS) vulnerability via the Column Management component. |
Vulnerability | ||
|
2023-10-03 21:15:10 | CVE-2023-33273 (lien direct) | Un problème a été découvert dans la surveillance de DTS 3.57.0.L'URL du paramètre dans la fonction de vérification WGET est vulnérable à l'injection de commande du système d'exploitation (aveugle).
An issue was discovered in DTS Monitoring 3.57.0. The parameter url within the WGET check function is vulnerable to OS command injection (blind). |
To see everything:
Our RSS (filtrered)
