What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-27 05:15:38 | CVE-2023-34058 (lien direct) | VMware Tools contient une vulnérabilité de dérivation de signature de jeton SAML.0e5e-4ccf-9d2a-90948ff643ec.html & acirc; & nbsp; dans une machine virtuelle cible peut être en mesure d'élever leurs privilèges si cette machine virtuelle cible a été affectée à une plus grande partieAlias invité privilégié https://vdc-download.vmware.com/vmwb-repository/dcr-public/d1902b0e-d479-46bf-8ac9-cee0e31e8ec0/07ce8dbd-db48-4261-9b8f-c6d3ad8ba472/vim.vm.ust.uliaster.html.
VMware Tools contains a SAML token signature bypass vulnerability. A malicious actor that has been granted Guest Operation Privileges https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-security/GUID-6A952214-0E5E-4CCF-9D2A-90948FF643EC.html  in a target virtual machine may be able to elevate their privileges if that target virtual machine has been assigned a more privileged Guest Alias https://vdc-download.vmware.com/vmwb-repository/dcr-public/d1902b0e-d479-46bf-8ac9-cee0e31e8ec0/07ce8dbd-db48-4261-9b8f-c6d3ad8ba472/vim.vm.guest.AliasManager.html . |
Tool | ||
|
2023-10-27 04:15:10 | CVE-2023-46503 (lien direct) | La vulnérabilité des scripts de site croisée (XSS) dans PWNCYN YXBookCMS V.1.0.2 permet à un attaquant distant d'exécuter du code arbitraire via les modules de gestion et d'entrée de livre des lecteurs.
Cross Site Scripting (XSS) vulnerability in PwnCYN YXBOOKCMS v.1.0.2 allows a remote attacker to execute arbitrary code via the reader management and book input modules. |
Vulnerability | ||
|
2023-10-27 04:15:10 | CVE-2023-46504 (lien direct) | La vulnérabilité du script de site croisé (XSS) dans PWNCYN YXBookCMS V.1.0.2 permet à un attaquant physiquement proximité d'exécuter du code arbitraire via la fonction de nom de la bibliothèque dans le composant des paramètres généraux.
Cross Site Scripting (XSS) vulnerability in PwnCYN YXBOOKCMS v.1.0.2 allows a physically proximate attacker to execute arbitrary code via the library name function in the general settings component. |
Vulnerability | ||
|
2023-10-27 04:15:10 | CVE-2023-45499 (lien direct) | Vinchin Backup & amp;Récupération v5.0. *, V6.0. *, V6.7. *, Et v7.0. * A été découvert qu'il contenait des informations d'identification codées en dur.
VinChin Backup & Recovery v5.0.*, v6.0.*, v6.7.*, and v7.0.* was discovered to contain hardcoded credentials. |
|||
|
2023-10-27 04:15:10 | CVE-2023-46818 (lien direct) | Un problème a été découvert dans ISPConfig avant 3.2.11p1.L'injection de code PHP peut être réalisée dans l'éditeur de fichiers linguistiques par un administrateur si admin_ALLOW_LANGEDIT est activé.
An issue was discovered in ISPConfig before 3.2.11p1. PHP code injection can be achieved in the language file editor by an admin if admin_allow_langedit is enabled. |
|||
|
2023-10-27 04:15:10 | CVE-2023-5051 (lien direct) | Le plugin de suivi des appels téléphoniques Callrail pour WordPress est vulnérable aux scripts entre le site transversal via le raccourci \\ 'callrail_form \' dans les versions jusqu'à et incluant 0.5.2 en raison de la désinfection et de la sortie insuffisantes et des sorties sur le \\ '' insuffisantes sur le \\ 'Form_ID \\ 'Attribut fourni par l'utilisateur.Cela permet aux attaquants authentifiés avec un niveau de contributeur et des autorisations supérieures à injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.
The CallRail Phone Call Tracking plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the \'callrail_form\' shortcode in versions up to, and including, 0.5.2 due to insufficient input sanitization and output escaping on the \'form_id\' user supplied attribute. This makes it possible for authenticated attackers with contributor level and above permissions to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. |
|||
|
2023-10-27 04:15:10 | CVE-2023-46815 (lien direct) | Un problème a été découvert dans Sugarcrm 12 avant 12.0.4 et 13 avant 13.0.2.Une vulnérabilité de téléchargement de fichiers sans restriction a été identifiée dans le module Notes.En utilisant une demande fabriquée, le code PHP personnalisé peut être injecté via le module Notes en raison de la validation d'entrée manquante.Un attaquant avec des privilèges utilisateur réguliers peut l'exploiter.
An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. An Unrestricted File Upload vulnerability has been identified in the Notes module. By using a crafted request, custom PHP code can be injected via the Notes module because of missing input validation. An attacker with regular user privileges can exploit this. |
Vulnerability Threat | ||
|
2023-10-27 04:15:10 | CVE-2023-46816 (lien direct) | Un problème a été découvert dans Sugarcrm 12 avant 12.0.4 et 13 avant 13.0.2.Une vulnérabilité d'injection de modèle de site de serveur (SSTI) a été identifiée dans l'action GecControl.En utilisant une demande fabriquée, le code PHP personnalisé peut être injecté via l'action GetControl en raison de la validation d'entrée manquante.Un attaquant avec des privilèges utilisateur réguliers peut l'exploiter.
An issue was discovered in SugarCRM 12 before 12.0.4 and 13 before 13.0.2. A Server Site Template Injection (SSTI) vulnerability has been identified in the GecControl action. By using a crafted request, custom PHP code can be injected via the GetControl action because of missing input validation. An attacker with regular user privileges can exploit this. |
Vulnerability Threat | ||
|
2023-10-27 04:15:10 | CVE-2023-45498 (lien direct) | Vinchin Backup & amp;Récupération v5.0. *, V6.0. *, V6.7. *, Et v7.0. * A été découvert pour contenir une vulnérabilité d'injection de commande.
VinChin Backup & Recovery v5.0.*, v6.0.*, v6.7.*, and v7.0.* was discovered to contain a command injection vulnerability. |
|||
|
2023-10-27 03:15:08 | CVE-2023-44375 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'add1 \' de la ressource en-tête.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'add1\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-27 03:15:08 | CVE-2023-46813 (lien direct) | Un problème a été découvert dans le noyau Linux avant 6.5.9, exploitable par les utilisateurs locaux avec l'accès de l'espace utilisateur aux registres MMIO.La vérification incorrecte de l'accès dans le gestionnaire #vc et l'émulation d'instructions de l'émulation SEV-ES des accès MMIO pourraient conduire à un accès arbitraire en écriture à la mémoire du noyau (et donc à l'escalade du privilège).Cela dépend d'une condition de course à travers laquelle l'espace utilisateur peut remplacer une instruction avant que le gestionnaire #vc ne le lit.
An issue was discovered in the Linux kernel before 6.5.9, exploitable by local users with userspace access to MMIO registers. Incorrect access checking in the #VC handler and instruction emulation of the SEV-ES emulation of MMIO accesses could lead to arbitrary write access to kernel memory (and thus privilege escalation). This depends on a race condition through which userspace can replace an instruction before the #VC handler reads it. |
|||
|
2023-10-27 03:15:08 | CVE-2023-44162 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'Contact \' de la ressource en-tête.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'contact\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-27 03:15:07 | CVE-2023-43738 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'e-mail \' de la ressource en-tête.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'email\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-27 02:15:07 | CVE-2023-5814 (lien direct) | Une vulnérabilité a été trouvée dans le système de rappel des tâches Sourcecodeter 1.0.Il a été classé comme critique.Cela affecte une partie inconnue du fichier /classes/master.php?f=save_reminder.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'identifiant VDB-243645 a été attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Task Reminder System 1.0. It has been classified as critical. This affects an unknown part of the file /classes/Master.php?f=save_reminder. The manipulation of the argument id leads to sql injection. It is possible to initiate the attack remotely. The identifier VDB-243645 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-27 02:15:07 | CVE-2023-5812 (lien direct) | Une vulnérabilité a été trouvée dans CMS Flusity et classée comme critique.Cette vulnérabilité est la fonction de la fonction HandleFilePload du fichier core / outils / upload.php.La manipulation de l'argument téléchargé_file conduit à un téléchargement sans restriction.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.Ce produit n'utilise pas de versioning.C'est pourquoi les informations sur les versions affectées et non affectées ne sont pas disponibles.L'identifiant associé de cette vulnérabilité est VDB-243643.
A vulnerability has been found in flusity CMS and classified as critical. Affected by this vulnerability is the function handleFileUpload of the file core/tools/upload.php. The manipulation of the argument uploaded_file leads to unrestricted upload. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The associated identifier of this vulnerability is VDB-243643. |
Vulnerability Threat | ||
|
2023-10-27 02:15:07 | CVE-2023-5813 (lien direct) | Une vulnérabilité a été trouvée dans le système de rappel de tâche SourceCodeter 1.0 et classé comme critique.Ce problème est une fonctionnalité inconnue du fichier /classes/master.php?f=Delete_Reminder.La manipulation de l'ID d'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'identifiant de cette vulnérabilité est VDB-243644.
A vulnerability was found in SourceCodester Task Reminder System 1.0 and classified as critical. Affected by this issue is some unknown functionality of the file /classes/Master.php?f=delete_reminder. The manipulation of the argument id leads to sql injection. The attack may be launched remotely. The identifier of this vulnerability is VDB-243644. |
Vulnerability | ||
|
2023-10-27 01:15:32 | CVE-2023-5811 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans la CMS de la flou.La fonction est la fonction LOADPOSTADDFORM du fichier core / outils / posts.php.La manipulation de l'argument menu_id mène à la script du site croisé.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.La livraison continue avec les versions de roulement est utilisée par ce produit.Par conséquent, aucun détail de version des versions affectées ni mise à jour n'est disponible.Le patch est identifié comme 6943991C62ED87C7A57989A0CB7077316127DEF8.Il est recommandé d'appliquer un correctif pour résoudre ce problème.VDB-243642 est l'identifiant attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, was found in flusity CMS. Affected is the function loadPostAddForm of the file core/tools/posts.php. The manipulation of the argument menu_id leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Continious delivery with rolling releases is used by this product. Therefore, no version details of affected nor updated releases are available. The patch is identified as 6943991c62ed87c7a57989a0cb7077316127def8. It is recommended to apply a patch to fix this issue. VDB-243642 is the identifier assigned to this vulnerability. |
Threat | ||
|
2023-10-27 01:15:32 | CVE-2023-46375 (lien direct) | Zentao Biz version 4.1.3 et avant est vulnérable à la contrefaçon de demande de site (CSRF).
ZenTao Biz version 4.1.3 and before is vulnerable to Cross Site Request Forgery (CSRF). |
|||
|
2023-10-27 01:15:32 | CVE-2023-46376 (lien direct) | Zentao Biz version 8.7 et avant est vulnérable à la divulgation d'informations.
Zentao Biz version 8.7 and before is vulnerable to Information Disclosure. |
|||
|
2023-10-27 01:15:32 | CVE-2023-46505 (lien direct) | La vulnérabilité de script du site croisé dans Fancms V.1.0.0 permet à un attaquant d'exécuter du code arbitraire via le paramètre Content1 dans le fichier Demo.php.
Cross Site Scripting vulnerability in FanCMS v.1.0.0 allows an attacker to execute arbitrary code via the content1 parameter in the demo.php file. |
Vulnerability | ||
|
2023-10-27 01:15:32 | CVE-2023-5810 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans la CMS de la flou.Ce problème affecte la fonction LOADPOSTADDFORM du fichier core / outils / posts.php.La manipulation de l'argument Edit_post_id conduit à un script de site croisé.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.Ce produit adopte l'approche des versions de roulement pour fournir une livraison continue.Par conséquent, les détails de la version pour les versions affectées et mises à jour ne sont pas disponibles.L'identifiant du patch est 6943991C62ED87C7A57989A0CB7077316127DEF8.Il est recommandé d'appliquer un correctif pour résoudre ce problème.L'identifiant VDB-243641 a été attribué à cette vulnérabilité.
A vulnerability, which was classified as problematic, has been found in flusity CMS. This issue affects the function loadPostAddForm of the file core/tools/posts.php. The manipulation of the argument edit_post_id leads to cross site scripting. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. This product takes the approach of rolling releases to provide continious delivery. Therefore, version details for affected and updated releases are not available. The identifier of the patch is 6943991c62ed87c7a57989a0cb7077316127def8. It is recommended to apply a patch to fix this issue. The identifier VDB-243641 was assigned to this vulnerability. |
Threat | ||
|
2023-10-27 00:15:09 | CVE-2023-46491 (lien direct) | Zentao Biz version 4.1.3 et avant une vulnérabilité de script de sites croisées (XSS) dans la bibliothèque de versions.
ZenTao Biz version 4.1.3 and before has a Cross Site Scripting (XSS) vulnerability in the Version Library. |
Vulnerability | ||
|
2023-10-27 00:15:09 | CVE-2023-42188 (lien direct) | ICECMS V2.0.1 est vulnérable à la contrefaçon de demande de site croisé (CSRF).
IceCMS v2.0.1 is vulnerable to Cross Site Request Forgery (CSRF). |
|||
|
2023-10-27 00:15:09 | CVE-2023-46374 (lien direct) | Zentao Enterprise Edition version 4.1.3 et avant est vulnérable au script de site croisé (XSS).
ZenTao Enterprise Edition version 4.1.3 and before is vulnerable to Cross Site Scripting (XSS). |
|||
|
2023-10-26 23:15:09 | CVE-2023-43737 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'fnm \' de la ressource en-tête.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'fnm\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-26 23:15:09 | CVE-2023-27170 (lien direct) | XPAND IT WRITE-Back Manager v2.3.1 permet aux attaquants d'effectuer une traversée de répertoire via la modification du paramètre SitEname.
Xpand IT Write-back manager v2.3.1 allows attackers to perform a directory traversal via modification of the siteName parameter. |
|||
|
2023-10-26 23:15:09 | CVE-2023-44268 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'Gender \' de la ressource en-tête.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'gender\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-26 22:15:08 | CVE-2023-42406 (lien direct) | La vulnérabilité de l'injection SQL dans le comportement en ligne D-Link Gateway DAR-7000 V31R02B1413C permet à un attaquant distant d'obtenir des informations sensibles et d'exécuter du code arbitraire via le composant editrole.php.
SQL injection vulnerability in D-Link Online behavior audit gateway DAR-7000 V31R02B1413C allows a remote attacker to obtain sensitive information and execute arbitrary code via the editrole.php component. |
Vulnerability | ||
|
2023-10-26 22:15:08 | CVE-2018-17559 (lien direct) | En raison d'un contrôle d'accès incorrect, les attaquants distants non authentifiés peuvent afficher le flux vidéo /video.mjpg de certaines caméras ABUS TVIP.
Due to incorrect access control, unauthenticated remote attackers can view the /video.mjpg video stream of certain ABUS TVIP cameras. |
|||
|
2023-10-26 22:15:08 | CVE-2018-16739 (lien direct) | Un problème a été découvert sur certains appareils ABUS TVIP.En raison d'une traversée de chemin dans / opt / cgi / admin / filewrite, un attaquant peut écrire dans des fichiers et ainsi exécuter le code arbitrairement avec des privilèges racine.
An issue was discovered on certain ABUS TVIP devices. Due to a path traversal in /opt/cgi/admin/filewrite, an attacker can write to files, and thus execute code arbitrarily with root privileges. |
|||
|
2023-10-26 22:15:08 | CVE-2023-5805 (lien direct) | Une vulnérabilité a été trouvée dans le système de portail immobilier SourceCodeter Simple Immalphate.Il a été classé comme critique.Affecté est une fonction inconnue du fichier View_estate.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-243618 est l'identifiant attribué à cette vulnérabilité.
A vulnerability was found in SourceCodester Simple Real Estate Portal System 1.0. It has been classified as critical. Affected is an unknown function of the file view_estate.php. The manipulation of the argument id leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-243618 is the identifier assigned to this vulnerability. |
Vulnerability Threat | ||
|
2023-10-26 22:15:08 | CVE-2018-17558 (lien direct) | Des références du fabricant codées et une vulnérabilité d'injection de commande OS dans le / cgi-bin /MFT / Directory sur ABUS TVIP TVIP20050 LM.1.6.18, TVIP10051 LM.1.6.18, TVIP11050 MG.1.6.03.05, TVIP20550 LM.1.6.18, TVIP10050 LM.1.6.18, TVIP11550 MG.1.6.03, TVIP21050 MG.1.6.03 et TVIP51550 MG.1.6.03 Les caméras permettent aux attaquants distants d'exécuter le code sous forme de racine.
Hardcoded manufacturer credentials and an OS command injection vulnerability in the /cgi-bin/mft/ directory on ABUS TVIP TVIP20050 LM.1.6.18, TVIP10051 LM.1.6.18, TVIP11050 MG.1.6.03.05, TVIP20550 LM.1.6.18, TVIP10050 LM.1.6.18, TVIP11550 MG.1.6.03, TVIP21050 MG.1.6.03, and TVIP51550 MG.1.6.03 cameras allow remote attackers to execute code as root. |
Vulnerability | ||
|
2023-10-26 22:15:08 | CVE-2018-17878 (lien direct) | La vulnérabilité de débordement de tampon dans certaines caméras ABUS TVIP permet aux attaquants de prendre le contrôle du programme via une chaîne fabriquée envoyée à la fonction sprintf ().
Buffer Overflow vulnerability in certain ABUS TVIP cameras allows attackers to gain control of the program via crafted string sent to sprintf() function. |
Vulnerability | ||
|
2023-10-26 22:15:08 | CVE-2023-38328 (lien direct) | Un problème a été découvert dans EGroupware 17.1.20190111.Une vulnérabilité de stockage de mot de passe inappropriée affecte le panneau de configuration de sous Configuration / ManageHeader.php, qui permet aux attaquants distants authentifiés avec des informations d'identification administratrices de lire un mot de passe de base de données ClearText.
An issue was discovered in eGroupWare 17.1.20190111. An Improper Password Storage vulnerability affects the setup panel of under setup/manageheader.php, which allows authenticated remote attackers with administrator credentials to read a cleartext database password. |
Vulnerability | ||
|
2023-10-26 22:15:08 | CVE-2023-43352 (lien direct) | Un problème dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via une charge utile fabriquée au composant de menu Content Manager.
An issue in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted payload to the Content Manager Menu component. |
|||
|
2023-10-26 22:15:08 | CVE-2018-17879 (lien direct) | Un problème a été découvert sur certaines caméras ABUS TVIP.Les scripts CGI permettent aux attaquants distants d'exécuter du code via System () comme racine.Il y a plusieurs points d'injection dans divers scripts.
An issue was discovered on certain ABUS TVIP cameras. The CGI scripts allow remote attackers to execute code via system() as root. There are several injection points in various scripts. |
|||
|
2023-10-26 21:15:08 | CVE-2023-46665 (lien direct) | Sielco PolyECO1000 est vulnérable à une vulnérabilité de contournement d'authentification en raison d'un attaquant modifiant les mots de passe dans une demande post-demande et à un accès non autorisé à l'appareil affecté avec des privilèges administratifs.
Sielco PolyEco1000 is vulnerable to an authentication bypass vulnerability due to an attacker modifying passwords in a POST request and gain unauthorized access to the affected device with administrative privileges. |
Vulnerability | ||
|
2023-10-26 21:15:08 | CVE-2023-46747 (lien direct) | Les demandes non divulguées peuvent contourner l'authentification de l'utilitaire de configuration, permettant à un attaquant avec un accès réseau au système BIG-IP via le port de gestion et / ou les adresses auto-IP pour exécuter des commandes système arbitraires. & Aciratteint la fin du support technique (EOTS) ne sont pas évalués
Undisclosed requests may bypass configuration utility authentication, allowing an attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute arbitrary system commands.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated |
|||
|
2023-10-26 21:15:08 | CVE-2023-46748 (lien direct) | Une vulnérabilité d'injection SQL authentifiée existe dans l'utilitaire de configuration Big-IP qui
Peut permettre un attaquant authentifié avec un accès réseau à l'utilitaire de configuration via le port de gestion BIG-IP et / ou les adresses auto-ip pour exécuter des commandes système arbitraires.
& Acirc; & nbsp; Remarque: les versions logicielles qui ont atteint la fin du support technique (EOTS) ne sont pas évaluées
An authenticated SQL injection vulnerability exists in the BIG-IP Configuration utility which may allow an authenticated attacker with network access to the Configuration utility through the BIG-IP management port and/or self IP addresses to execute arbitrary system commands. Â Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated |
Vulnerability | ||
|
2023-10-26 21:15:07 | CVE-2023-46664 (lien direct) | Sielco PolyEco1000 est vulnérable à une vulnérabilité de contrôle d'accès incorrect lorsque l'application offre un accès direct aux objets en fonction de l'entrée fournie par l'utilisateur.À la suite de cette vulnérabilité, les attaquants peuvent contourner l'autorisation et accéder aux ressources derrière des pages protégées.
Sielco PolyEco1000 is vulnerable to an improper access control vulnerability when the application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources behind protected pages. |
Vulnerability | ||
|
2023-10-26 21:15:07 | CVE-2023-33559 (lien direct) | Une vulnérabilité d'inclusion de fichiers locaux via le paramètre Lang dans Ocomon avant V4.0.1 permet aux attaquants d'exécuter du code arbitraire en fournissant un fichier PHP fabriqué.
A local file inclusion vulnerability via the lang parameter in OcoMon before v4.0.1 allows attackers to execute arbitrary code by supplying a crafted PHP file. |
Vulnerability | ||
|
2023-10-26 21:15:07 | CVE-2023-46663 (lien direct) | Sielco PolyEco1000 est vulnérable à un attaquant de contournement de l'autorisation et d'accès aux ressources derrière des pages protégées.L'interface d'application permet aux utilisateurs d'effectuer certaines actions via des demandes HTTP sans effectuer de vérifications de validité pour vérifier les demandes.
Sielco PolyEco1000 is vulnerable to an attacker bypassing authorization and accessing resources behind protected pages. The application interface allows users to perform certain actions via HTTP requests without performing any validity checks to verify the requests. |
|||
|
2023-10-26 21:15:07 | CVE-2023-33558 (lien direct) | Une vulnérabilité de divulgation d'informations dans les utilisateurs de composants-grud-data.php d'Ocomon avant V4.0.1 permet aux attaquants d'obtenir des informations sensibles telles que les e-mails et les noms d'utilisateur.
An information disclosure vulnerability in the component users-grid-data.php of Ocomon before v4.0.1 allows attackers to obtain sensitive information such as e-mails and usernames. |
Vulnerability | ||
|
2023-10-26 21:15:07 | CVE-2023-39726 (lien direct) | Un problème dans Mintty V.3.6.4 et avant permet à un attaquant distant d'exécuter du code arbitraire via des commandes fabriquées au terminal.
An issue in Mintty v.3.6.4 and before allows a remote attacker to execute arbitrary code via crafted commands to the terminal. |
|||
|
2023-10-26 20:15:08 | CVE-2023-44267 (lien direct) | La galerie d'art en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées. & Acirc; & nbsp; & acirc; & nbsp; le paramètre \\ 'lnm \' de la ressource en tête.& nbsp; sont envoyés non filtrés à la base de données.
Online Art Gallery v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities.  The \'lnm\' parameter of the header.php resource does not validate the characters received and they are sent unfiltered to the database. |
|||
|
2023-10-26 20:15:08 | CVE-2023-0897 (lien direct) | Sielco PolyECO1000 est vulnérable à une vulnérabilité de détournement de session en raison de la vulnération du cookie à une attaque par force brute, du manque de SSL et de la session visible dans les demandes.
Sielco PolyEco1000 is vulnerable to a session hijack vulnerability due to the cookie being vulnerable to a brute force attack, lack of SSL, and the session being visible in requests. |
Vulnerability | ||
|
2023-10-26 20:15:08 | CVE-2023-5754 (lien direct) | Sielco PolyECO1000 utilise un ensemble faible d'identification administrative par défaut qui peut être facilement deviné dans les attaques de mot de passe distantes et prendre le contrôle total du système.
Sielco PolyEco1000 uses a weak set of default administrative credentials that can be easily guessed in remote password attacks and gain full control of the system. |
|||
|
2023-10-26 20:15:08 | CVE-2023-5804 (lien direct) | Une vulnérabilité a été trouvée dans le système de gestion des tests de virus PHPGURUKUL NIPAH et classé comme critique.Ce problème affecte un traitement inconnu du fichier login.php.La manipulation du nom d'utilisateur de l'argument conduit à l'injection de SQL.L'attaque peut être initiée à distance.L'identifiant VDB-243617 a été attribué à cette vulnérabilité.
A vulnerability was found in PHPGurukul Nipah Virus Testing Management System 1.0 and classified as critical. This issue affects some unknown processing of the file login.php. The manipulation of the argument username leads to sql injection. The attack may be initiated remotely. The identifier VDB-243617 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-26 20:15:08 | CVE-2023-39936 (lien direct) | Dans Ashlar-Vellum Graphite v13.0.48, l'application affectée manque de validation appropriée des données fournies par l'utilisateur lors de l'analyse des fichiers VC6.Cela pourrait conduire à une lecture hors limites.Un attaquant pourrait tirer parti de cette vulnérabilité pour exécuter du code arbitraire dans le contexte du processus actuel.
In Ashlar-Vellum Graphite v13.0.48, the affected application lacks proper validation of user-supplied data when parsing VC6 files. This could lead to an out-of-bounds read. An attacker could leverage this vulnerability to execute arbitrary code in the context of the current process. |
Vulnerability | ||
|
2023-10-26 20:15:08 | CVE-2023-39427 (lien direct) | Dans Ashlar-Vellum Cobalt, Xenon, Argon, Lithium et Cobalt partagent V12 SP0 Build (1204.77), les applications affectées manquent de validation appropriée des données fournies par l'utilisateur lors de l'analyse des fichiers XE.Cela pourrait conduire à une écriture hors limites.Un attaquant pourrait tirer parti de cette vulnérabilité pour exécuter du code arbitraire dans le contexte du processus actuel.
In Ashlar-Vellum Cobalt, Xenon, Argon, Lithium, and Cobalt Share v12 SP0 Build (1204.77), the affected applications lack proper validation of user-supplied data when parsing XE files. This could lead to an out-of-bounds write. An attacker could leverage this vulnerability to execute arbitrary code in the context of the current process. |
Vulnerability |
To see everything:
Our RSS (filtrered)
