What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-29 02:15:07 | CVE-2023-40685 (lien direct) | Management Central dans le cadre de IBM I 7.2, 7.3, 7.4 et 7.5 Navigator contient une vulnérabilité d'escalade locale.Un acteur malveillant avec un accès de ligne de commande au système d'exploitation peut exploiter cette vulnérabilité pour élever les privilèges pour accéder à l'accès root au système d'exploitation.IBM X-FORCE ID: 264116.
Management Central as part of IBM i 7.2, 7.3, 7.4, and 7.5 Navigator contains a local privilege escalation vulnerability. A malicious actor with command line access to the operating system can exploit this vulnerability to elevate privileges to gain root access to the operating system. IBM X-Force ID: 264116. |
Vulnerability Threat | ||
|
2023-10-29 01:15:41 | CVE-2023-5839 (lien direct) | Chaîne de privilège dans le référentiel GitHub HestiacP / HestiacP avant 1,8,9.
Privilege Chaining in GitHub repository hestiacp/hestiacp prior to 1.8.9. |
|||
|
2023-10-29 01:15:41 | CVE-2023-5840 (lien direct) | Mécanisme de récupération de mot de passe faible pour le mot de passe oublié dans le référentiel GitHub Linkstackorg / linkstack avant V4.2.9.
Weak Password Recovery Mechanism for Forgotten Password in GitHub repository linkstackorg/linkstack prior to v4.2.9. |
|||
|
2023-10-29 01:15:41 | CVE-2023-43041 (lien direct) | IBM QRADAR SIEM 7.5 est vulnérable à l'exposition aux informations permettant à un utilisateur de locataire administrateur délégué avec un profil de sécurité de domaine spécifique attribué à voir les données d'autres domaines.Cette vulnérabilité est due à une correction incomplète pour CVE-2022-34352.IBM X-FORCE ID: 266808.
IBM QRadar SIEM 7.5 is vulnerable to information exposure allowing a delegated Admin tenant user with a specific domain security profile assigned to see data from other domains. This vulnerability is due to an incomplete fix for CVE-2022-34352. IBM X-Force ID: 266808. |
Vulnerability | ||
|
2023-10-29 01:15:41 | CVE-2023-46858 (lien direct) | ** Contesté ** Moodle 4.3 Autorise /grade/report/grader/index.php?searchValue= reflété XSS lorsqu'il est connecté en tant que professeur.Remarque: Le lien de la FAQ de sécurité Moodle indique "certaines formes de contenu riche [sont] utilisées par les enseignants pour améliorer leurs cours ... les administrateurs et les enseignants peuvent afficher du contenu compatible XSS, mais les étudiants ne le peuvent pas."
** DISPUTED ** Moodle 4.3 allows /grade/report/grader/index.php?searchvalue= reflected XSS when logged in as a teacher. NOTE: the Moodle Security FAQ link states "Some forms of rich content [are] used by teachers to enhance their courses ... admins and teachers can post XSS-capable content, but students can not." |
|||
|
2023-10-29 01:15:41 | CVE-2023-5838 (lien direct) | Expiration insuffisante de session dans le référentiel GitHub Linkstackorg / LinkStack avant V4.2.9.
Insufficient Session Expiration in GitHub repository linkstackorg/linkstack prior to v4.2.9. |
|||
|
2023-10-29 01:15:40 | CVE-2023-40686 (lien direct) | Management Central dans le cadre de IBM I 7.2, 7.3, 7.4 et 7.5 Navigator contient une vulnérabilité d'escalade locale.Un acteur malveillant avec un accès de ligne de commande au système d'exploitation peut exploiter cette vulnérabilité pour élever les privilèges pour obtenir un accès des composants au système d'exploitation.IBM X-FORCE ID: 264114.
Management Central as part of IBM i 7.2, 7.3, 7.4, and 7.5 Navigator contains a local privilege escalation vulnerability. A malicious actor with command line access to the operating system can exploit this vulnerability to elevate privileges to gain component access to the operating system. IBM X-Force ID: 264114. |
Vulnerability Threat | ||
|
2023-10-28 22:15:08 | CVE-2023-5836 (lien direct) | Une vulnérabilité a été trouvée dans le système de rappel des tâches Sourcecodeter 1.0.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue des classes de fichiers / utilisateurs.php? F = supprimer.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'identifiant de cette vulnérabilité est VDB-243800.
A vulnerability was found in SourceCodester Task Reminder System 1.0. It has been rated as critical. Affected by this issue is some unknown functionality of the file classes/Users.php?f=delete. The manipulation of the argument id leads to sql injection. The attack may be launched remotely. The identifier of this vulnerability is VDB-243800. |
Vulnerability | ||
|
2023-10-28 22:15:08 | CVE-2023-5837 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans Alexanderlivanov Fotoscms2 jusqu'à 2.4.3.Cette vulnérabilité affecte le code inconnu du profil de fichier.php du gestionnaire de cookies de composant.La manipulation du nom d'utilisateur de l'argument conduit à des scripts croisés.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-243802 est l'identifiant attribué à cette vulnérabilité.
A vulnerability classified as problematic was found in AlexanderLivanov FotosCMS2 up to 2.4.3. This vulnerability affects unknown code of the file profile.php of the component Cookie Handler. The manipulation of the argument username leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-243802 is the identifier assigned to this vulnerability. |
Vulnerability Threat | ||
|
2023-10-28 22:15:08 | CVE-2023-46854 (lien direct) | Proxmox proxmox-widget-toolkit avant 4.0.9, tel qu'utilisé dans plusieurs produits proxmox, permet XSS via la fonction Edit Notes.
Proxmox proxmox-widget-toolkit before 4.0.9, as used in multiple Proxmox products, allows XSS via the edit notes feature. |
|||
|
2023-10-28 21:15:07 | CVE-2023-45897 (lien direct) | ExfatProgs avant 1.2.2 permet un accès à la mémoire hors limites, comme dans read_file_dentry_set.
exfatprogs before 1.2.2 allows out-of-bounds memory access, such as in read_file_dentry_set. |
|||
|
2023-10-28 14:15:10 | CVE-2023-5835 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans HU60T HU60WAP6.Cette vulnérabilité est la marque de fonction du fichier src / class / ubbparser.php.La manipulation conduit à des scripts croisés.L'attaque peut être lancée à distance.Ce produit n'utilise pas de versioning.C'est pourquoi les informations sur les versions affectées et non affectées ne sont pas disponibles.Le patch est nommé A1CD9F12D7687243BFCB7CE295665ACB83B9174E.Il est recommandé d'appliquer un correctif pour résoudre ce problème.L'identifiant associé de cette vulnérabilité est VDB-243775.
A vulnerability classified as problematic was found in hu60t hu60wap6. Affected by this vulnerability is the function markdown of the file src/class/ubbparser.php. The manipulation leads to cross site scripting. The attack can be launched remotely. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The patch is named a1cd9f12d7687243bfcb7ce295665acb83b9174e. It is recommended to apply a patch to fix this issue. The associated identifier of this vulnerability is VDB-243775. |
Vulnerability | ||
|
2023-10-28 12:15:38 | CVE-2023-5426 (lien direct) | Le plugin Post Meta Data Manager pour WordPress est vulnérable à la modification non autorisée des données en raison d'une vérification des capacités manquantes sur le PMDM_WP_DELETE_USER_META, PMDM_WP_DELETE_TERM_META et PMDM_WP_AJAX_DELETE_META Fonctionne dans des versions jusqu'à et incluant, 1.2.0.Cela permet aux attaquants non authentifiés de supprimer l'utilisateur, le terme et la méta publique appartenant aux utilisateurs arbitraires.
The Post Meta Data Manager plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the pmdm_wp_delete_user_meta, pmdm_wp_delete_term_meta, and pmdm_wp_ajax_delete_meta functions in versions up to, and including, 1.2.0. This makes it possible for unauthenticated attackers to delete user, term, and post meta belonging to arbitrary users. |
|||
|
2023-10-28 12:15:37 | CVE-2023-5425 (lien direct) | Le plugin posta Meta Data Manager pour WordPress est vulnérable à la modification non autorisée des données en raison d'une vérification des capacités manquantes sur le PMDM_WP_CHANGE_USER_META et PMDM_WP_CHANGE_POST_META fonctionne dans les versions jusqu'à et incluant, 1.2.0.Cela permet aux attaquants authentifiés, avec des autorisations au niveau des abonnés et au-dessus, d'obtenir des privilèges élevés (par exemple, administrateur).
The Post Meta Data Manager plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the pmdm_wp_change_user_meta and pmdm_wp_change_post_meta functions in versions up to, and including, 1.2.0. This makes it possible for authenticated attackers, with subscriber-level permissions and above, to gain elevated (e.g., administrator) privileges. |
|||
|
2023-10-28 08:15:07 | CVE-2023-46215 (lien direct) | Insertion d'informations sensibles dans la vulnérabilité des fichiers journaux dans le fournisseur de céleri Airflow Apache, Apache Airflow.
Informations sensibles enregistrées comme texte clair lorsque les protocoles Redess, AMQP, RPC sont utilisés comme backend de résultat de céleri
Remarque: la vulnérabilité & acirc; & nbsp;
Ce problème affecte le fournisseur de céleri de flux d'air Apache: de 3.3.0 à 3.4.0;Apache Air Flow: de 1.10.0 à 2.6.3.
Les utilisateurs sont recommandés pour mettre à niveau le fournisseur de céleri Airflow vers la version 3.4.1 & acirc; & nbsp; et Apache AirlFow à la version 2.7.0 qui résout le problème.
Insertion of Sensitive Information into Log File vulnerability in Apache Airflow Celery provider, Apache Airflow. Sensitive information logged as clear text when rediss, amqp, rpc protocols are used as Celery result backend Note: the vulnerability is about the information exposed in the logs not about accessing the logs. This issue affects Apache Airflow Celery provider: from 3.3.0 through 3.4.0; Apache Airflow: from 1.10.0 through 2.6.3. Users are recommended to upgrade Airflow Celery provider to version 3.4.1 and Apache Airlfow to version 2.7.0 which fixes the issue. |
Vulnerability | ||
|
2023-10-28 02:15:07 | CVE-2023-46569 (lien direct) | Une lecture hors limites dans Radare2 V.5.8.9 et avant existe dans la fonction print_insn32_fpu de Liber / Arch / P / NDS32 / NDS32-DIS.H.
An out-of-bounds read in radare2 v.5.8.9 and before exists in the print_insn32_fpu function of libr/arch/p/nds32/nds32-dis.h. |
|||
|
2023-10-28 02:15:07 | CVE-2023-46570 (lien direct) | Une lecture hors limites dans Radare2 V.5.8.9 et avant existe dans la fonction print_insn32 de Liber / Arch / P / NDS32 / NDS32-DIS.H.
An out-of-bounds read in radare2 v.5.8.9 and before exists in the print_insn32 function of libr/arch/p/nds32/nds32-dis.h. |
|||
|
2023-10-28 01:15:51 | CVE-2023-46468 (lien direct) | Un problème dans Juzawebcms V.3.4 et avant permet à un attaquant distant d'exécuter du code arbitraire via un fichier fabriqué à la fonction de plugin personnalisée.
An issue in juzawebCMS v.3.4 and before allows a remote attacker to execute arbitrary code via a crafted file to the custom plugin function. |
|||
|
2023-10-28 01:15:51 | CVE-2023-46467 (lien direct) | La vulnérabilité des scripts du site croisé dans Juzawebcms V.3.4 et avant permet à un attaquant distant d'exécuter du code arbitraire via une charge utile fabriquée au paramètre de nom d'utilisateur de la page d'enregistrement.
Cross Site Scripting vulnerability in juzawebCMS v.3.4 and before allows a remote attacker to execute arbitrary code via a crafted payload to the username parameter of the registration page. |
Vulnerability | ||
|
2023-10-28 01:15:51 | CVE-2023-43322 (lien direct) | ZPE Systems, Inc Nodegrid OS v5.0.0 à v5.0.17, v5.2.0 à v5.2.19, v5.4.0 à v5.4.16, v5.6.0 à v5.6.13, v5.8.0 à v5.8.10 et v5.10.0à v5.10.3 a été découvert pour contenir une vulnérabilité d'injection de commande via le point de terminaison / v1 / système / outils / files / fichiers /.
ZPE Systems, Inc Nodegrid OS v5.0.0 to v5.0.17, v5.2.0 to v5.2.19, v5.4.0 to v5.4.16, v5.6.0 to v5.6.13, v5.8.0 to v5.8.10, and v5.10.0 to v5.10.3 was discovered to contain a command injection vulnerability via the endpoint /v1/system/toolkit/files/. |
Vulnerability | ||
|
2023-10-27 23:15:07 | CVE-2023-46587 (lien direct) | La vulnérabilité de débordement de tampon dans XNView Classic V.2.51.5 permet à un attaquant local d'exécuter du code arbitraire via un fichier TIF fabriqué.
Buffer Overflow vulnerability in XnView Classic v.2.51.5 allows a local attacker to execute arbitrary code via a crafted TIF file. |
Vulnerability | ||
|
2023-10-27 22:15:09 | CVE-2023-46490 (lien direct) | La vulnérabilité de l'injection SQL dans CACTI V1.2.25 permet à un attaquant distant d'obtenir des informations sensibles via la fonction form_actions () dans la fonction managers.php.
SQL Injection vulnerability in Cacti v1.2.25 allows a remote attacker to obtain sensitive information via the form_actions() function in the managers.php function. |
Vulnerability | ||
|
2023-10-27 22:15:09 | CVE-2023-5834 (lien direct) | L'installateur Windows de Hashicorp Vagrant \\ a ciblé un emplacement personnalisé avec un chemin non protégé qui pourrait être jonctionné, introduisant le potentiel des écritures de systèmes de fichiers non autorisés.Fixé dans Vagrant 2.4.0.
HashiCorp Vagrant\'s Windows installer targeted a custom location with a non-protected path that could be junctioned, introducing potential for unauthorized file system writes. Fixed in Vagrant 2.4.0. |
|||
|
2023-10-27 21:15:10 | CVE-2023-5830 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans le localisateur de documents Columbasoft.Cela affecte une partie inconnue du fichier / api / authentification / connexion des composants webTools.La manipulation du serveur d'arguments conduit à une mauvaise authentification.Il est possible d'initier l'attaque à distance.La mise à niveau vers la version 7.2 SP4 et 2021.1 est en mesure de résoudre ce problème.Il est recommandé de mettre à niveau le composant affecté.L'identifiant VDB-243729 a été attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in ColumbiaSoft Document Locator. This affects an unknown part of the file /api/authentication/login of the component WebTools. The manipulation of the argument Server leads to improper authentication. It is possible to initiate the attack remotely. Upgrading to version 7.2 SP4 and 2021.1 is able to address this issue. It is recommended to upgrade the affected component. The identifier VDB-243729 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-44480 (lien direct) | Leave Management System Project V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL authentifiées. & Acirc; & nbsp; le paramètre \\ 'setcasuAllEave \' de la ressource admin / setleaves.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la ressourcebase de données.
Leave Management System Project v1.0 is vulnerable to multiple Authenticated SQL Injection vulnerabilities. The \'setcasualleave\' parameter of the admin/setleaves.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40134 (lien direct) | Dans IsfullScreen of Filui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In isFullScreen of FillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40131 (lien direct) | Dans gpuservice de gpuservice.cpp, il y a une utilisation possible après gratuitement en raison d'une condition de course.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In GpuService of GpuService.cpp, there is a possible use after free due to a race condition. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-46211 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans le brainstorm Force Ultimate Addons pour WPBAKERY Page Builder Plugin | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-40135 (lien direct) | Dans ApplyCustomDescription de Saveui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In applyCustomDescription of SaveUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-46509 (lien direct) | Un problème dans Contec Solarview Compact V.6.0 et avant permet à un attaquant d'exécuter du code arbitraire via le composant texteditor.php.
An issue in Contec SolarView Compact v.6.0 and before allows an attacker to execute arbitrary code via the texteditor.php component. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40137 (lien direct) | Dans plusieurs fonctions de DialogFillui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In multiple functions of DialogFillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40133 (lien direct) | Dans plusieurs emplacements de DialogFillui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In multiple locations of DialogFillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40138 (lien direct) | Dans Filui of Filui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In FillUi of FillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40140 (lien direct) | Dans Android_View_inputdevice_Create de Android_View_InputDevice.cpp, il existe un moyen possible d'exécuter du code arbitraire en raison d'une utilisation après gratuitement.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In android_view_InputDevice_create of android_view_InputDevice.cpp, there is a possible way to execute arbitrary code due to a use after free. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-46208 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans StyleMixThemes Motors & acirc; & euro; & ldquo;Concessionnaire automobile, classifiés & amp;Plugin de liste | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-46510 (lien direct) | Un problème dans Zioncom (Hong Kong) Technology Limited A7000R V.4.1cu.4154 permet à un attaquant d'exécuter du code arbitraire via la fonction CIG-BIN / CSTECGI.cgi à la fonction Settings / SetPasswordcfg.
An issue in ZIONCOM (Hong Kong) Technology Limited A7000R v.4.1cu.4154 allows an attacker to execute arbitrary code via the cig-bin/cstecgi.cgi to the settings/setPasswordCfg function. |
|||
|
2023-10-27 21:15:09 | CVE-2023-46209 (lien direct) | Unauth.Vulnérabilité des scripts croisés (XSS) réfléchis dans G5Theme Grid Plus & acirc; & euro; & ldquo;Plugin de grille illimité | Vulnerability | ||
|
2023-10-27 21:15:09 | CVE-2023-40139 (lien direct) | Dans Filui of Filui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In FillUi of FillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-40136 (lien direct) | Dans Sethader de DialogFillui.java, il existe un moyen possible de visualiser les images d'un autre utilisateur en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In setHeader of DialogFillUi.java, there is a possible way to view another user\'s images due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:09 | CVE-2023-46200 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Stephen Darlington, Wandle Software Limited Smart App Banner Plugin | Vulnerability | ||
|
2023-10-27 21:15:08 | CVE-2023-40130 (lien direct) | Dans OnBindingDied de CallRedirectionProcessor.java, il y a un contournement possible en raison d'une erreur logique dans le code.Cela pourrait conduire à l'escalade locale des privilèges et au lancement d'activité de fond sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In onBindingDied of CallRedirectionProcessor.java, there is a possible permission bypass due to a logic error in the code. This could lead to local escalation of privilege and background activity launch with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2023-40120 (lien direct) | Dans plusieurs emplacements, il existe un moyen possible de contourner la notification utilisateur des services de premier plan en raison d'une mauvaise validation d'entrée.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In multiple locations, there is a possible way to bypass user notification of foreground services due to improper input validation. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2022-34834 (lien direct) | Un problème a été découvert dans Vermeg Agilereporter 21.3.Les attaquants peuvent gagner des privilèges via une charge utile XSS dans une action de commentaire Ajouter au journal d'activité.
An issue was discovered in VERMEG AgileReporter 21.3. Attackers can gain privileges via an XSS payload in an Add Comment action to the Activity log. |
|||
|
2023-10-27 21:15:08 | CVE-2022-34832 (lien direct) | Un problème a été découvert dans Vermeg Agilereporter 21.3.XXE peut se produire via un document XML dans le composant d'analyse.
An issue was discovered in VERMEG AgileReporter 21.3. XXE can occur via an XML document to the Analysis component. |
|||
|
2023-10-27 21:15:08 | CVE-2023-40116 (lien direct) | Dans ONTASKAPPARED OF PIPTaskOrganizer.java, il existe un moyen possible de contourner les restrictions de lancement de l'activité d'arrière-plan dues à une erreur logique dans le code.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In onTaskAppeared of PipTaskOrganizer.java, there is a possible way to bypass background activity launch restrictions due to a logic error in the code. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2022-34833 (lien direct) | Un problème a été découvert dans Vermeg Agilereporter 21.3.Un administrateur peut saisir une charge utile XSS dans le composant d'analyse.
An issue was discovered in VERMEG AgileReporter 21.3. An admin can enter an XSS payload in the Analysis component. |
|||
|
2023-10-27 21:15:08 | CVE-2023-40123 (lien direct) | Dans UpdateActionViews de pipMenuvew.java, il y a une contournement possible d'une limite de sécurité multi-utilisateurs en raison d'un député confus.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In updateActionViews of PipMenuView.java, there is a possible bypass of a multi user security boundary due to a confused deputy. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2023-40117 (lien direct) | Dans la réinitialisation où Settingsprovider.java est en cours de réintention, il y a un contournement possible de verrouillage en raison d'un contournement d'autorisations.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In resetSettingsLocked of SettingsProvider.java, there is a possible lockscreen bypass due to a permissions bypass. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2023-40121 (lien direct) | Dans APPENDESCAPEDSQLSTRING de DatabaseUtils.java, il y a une injection de SQL possible en raison de la désérialisation dangereuse.Cela pourrait entraîner une divulgation d'informations locales avec les privilèges d'exécution des utilisateurs nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In appendEscapedSQLString of DatabaseUtils.java, there is a possible SQL injection due to unsafe deserialization. This could lead to local information disclosure with User execution privileges needed. User interaction is not needed for exploitation. |
|||
|
2023-10-27 21:15:08 | CVE-2023-32738 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le manuel alkaweb eonet manuel approuver le plugin | Vulnerability |
To see everything:
Our RSS (filtrered)
