SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-10-25 18:17:28	CVE-2023-38041 (lien direct)	Un utilisateur enregistré peut élever ses autorisations en abusant d'un moment de vérification de la condition de course du temps d'utilisation (TOTOU).Lorsqu'un flux de processus particulier est initié, un attaquant peut exploiter cette condition pour gagner des privilèges élevés non autorisés sur le système affecté. A logged in user may elevate its permissions by abusing a Time-of-Check to Time-of-Use (TOCTOU) race condition. When a particular process flow is initiated, an attacker can exploit this condition to gain unauthorized elevated privileges on the affected system.	Threat
	2023-10-25 18:17:28	CVE-2023-37283 (lien direct)	Dans une configuration très spécifique et très non recommandée, le contournement de l'authentification est possible dans le premier adaptateur de l'identifiant PingfeDerate Under a very specific and highly unrecommended configuration, authentication bypass is possible in the PingFederate Identifier First Adapter
	2023-10-25 18:17:28	CVE-2023-37908 (lien direct)	Le rendu Xwiki est un système de rendu générique qui convertit l'entrée textuelle dans une syntaxe donnée dans une autre syntaxe.Le nettoyage des attributs pendant le rendu XHTML, introduit dans la version 14.6-RC-1, a permis l'injection de code HTML arbitraire et donc de script de site transversal via des noms d'attribut non valides.Cela peut être exploité, par exemple, via la syntaxe de lien dans tout contenu qui prend en charge la syntaxe de Xwiki comme des commentaires dans xwiki.Lorsqu'un utilisateur déplace la souris sur un lien malveillant, le code JavaScript malveillant est exécuté dans le contexte de la session utilisateur.Lorsque cet utilisateur est un utilisateur privilégié qui a des droits de programmation, cela permet l'exécution du code côté serveur avec les droits de programmation, ce qui a un impact sur la confidentialité, l'intégrité et la disponibilité de l'instance Xwiki.Bien que cet attribut ait été correctement reconnu comme non autorisé, l'attribut a toujours été imprimé avec un préfixe `Data-xwiki-Translated-attribut - sans plus de nettoyage ni de validation.Ce problème a été corrigé dans Xwiki 14.10.4 et 15.0 RC1 en supprimant les caractères non autorisés dans les attributs de données, puis en validant à nouveau l'attribut nettoyé.Il n'y a pas de solution de contournement connu en dehors de la mise à niveau vers une version, y compris le correctif. XWiki Rendering is a generic Rendering system that converts textual input in a given syntax into another syntax. The cleaning of attributes during XHTML rendering, introduced in version 14.6-rc-1, allowed the injection of arbitrary HTML code and thus cross-site scripting via invalid attribute names. This can be exploited, e.g., via the link syntax in any content that supports XWiki syntax like comments in XWiki. When a user moves the mouse over a malicious link, the malicious JavaScript code is executed in the context of the user session. When this user is a privileged user who has programming rights, this allows server-side code execution with programming rights, impacting the confidentiality, integrity and availability of the XWiki instance. While this attribute was correctly recognized as not allowed, the attribute was still printed with a prefix `data-xwiki-translated-attribute-` without further cleaning or validation. This problem has been patched in XWiki 14.10.4 and 15.0 RC1 by removing characters not allowed in data attributes and then validating the cleaned attribute again. There are no known workarounds apart from upgrading to a version including the fix.
	2023-10-25 18:17:28	CVE-2023-34085 (lien direct)	Lorsqu'une table AWS DynamoDB est utilisée pour le stockage des attributs de l'utilisateur, il est possible de récupérer les attributs d'un autre utilisateur à l'aide d'une demande fabriquée par malveillance When an AWS DynamoDB table is used for user attribute storage, it is possible to retrieve the attributes of another user using a maliciously crafted request
	2023-10-25 18:17:28	CVE-2023-39219 (lien direct)	La dépendance à la console administrative de Pingféréate contient une faiblesse où la console ne répond pas aux demandes d'énumération de chargement de classe Java conçues PingFederate Administrative Console dependency contains a weakness where console becomes unresponsive with crafted Java class loading enumeration requests
	2023-10-25 18:17:27	CVE-2023-31580 (lien direct)	Light-OAuth2 avant la version 2.1.27 obtient la clé publique sans aucune vérification.Cela pourrait permettre aux attaquants de s'authentifier avec l'application avec un jeton JWT fabriqué. light-oauth2 before version 2.1.27 obtains the public key without any verification. This could allow attackers to authenticate to the application with a crafted JWT token.
	2023-10-25 18:17:27	CVE-2023-34048 (lien direct)	VCenter Server contient une vulnérabilité d'écriture hors limites dans la mise en œuvre du protocole DCERPC. & acirc; & nbsp; Un acteur malveillant avec un accès réseau à VCenter Server peut déclencher une écriture hors limites conduisant potentiellement à l'exécution du code distant. vCenter Server contains an out-of-bounds write vulnerability in the implementation of the DCERPC protocol.Â A malicious actor with network access to vCenter Server may trigger an out-of-bounds write potentially leading to remote code execution.	Vulnerability
	2023-10-25 18:17:27	CVE-2023-34056 (lien direct)	VCenter Server contient une vulnérabilité partielle d'informations. vCenter Server contains a partial information disclosure vulnerability.Â A malicious actor with non-administrative privileges to vCenter Server may leverage this issue to access unauthorized data.
	2023-10-25 18:17:27	CVE-2023-31581 (lien direct)	Dromara SURINGATION AVANT V1.0.8 a été découverte pour utiliser une clé codée en dur. Dromara Sureness before v1.0.8 was discovered to use a hardcoded key.
	2023-10-25 18:17:27	CVE-2023-30912 (lien direct)	Un problème d'exécution de code distant existe dans HPE OneView. A remote code execution issue exists in HPE OneView.
	2023-10-25 18:17:27	CVE-2023-29973 (lien direct)	PfSense CE version 2.6.0 est vulnérable à aucune limite de taux qui peut conduire à un attaquant de créer plusieurs utilisateurs malveillants dans le pare-feu. Pfsense CE version 2.6.0 is vulnerable to No rate limit which can lead to an attacker creating multiple malicious users in firewall.
	2023-10-25 18:17:27	CVE-2023-31582 (lien direct)	Jose4j avant V0.9.3 permet aux attaquants de définir un faible nombre d'itération de 1000 ou moins. jose4j before v0.9.3 allows attackers to set a low iteration count of 1000 or less.
	2023-10-25 18:17:26	CVE-2023-27262 (lien direct)	Injection SQL non authentifiée dans la méthode GetAssignmentsDue dans IdAnd & acirc; & euro; & Trade; s Application IDWeb Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetAssignmentsDue method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27255 (lien direct)	Injection de SQL non authentifiée dans la méthode DeleteroomChanges dans IdAnd & acirc; & euro; & Trade; s Application Idweb Application 3.1.052 et antérieure permet l'extraction ou la modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the DeleteRoomChanges method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27377 (lien direct)	L'authentification manquante dans la méthode StudentPopupDetails_EMergencyContactDetails dans IdAnd & acirc; & euro; & Trade; s Application IDWeb 3.1.052 et antérieure permet l'extraction de données d'étudiants sensibles par des attaquants non authentifiés. Missing authentication in the StudentPopupDetails_EmergencyContactDetails method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction of sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-26584 (lien direct)	Injection de SQL non authentifiée dans la méthode GetStudinconsistences in idAnd & acirc; & euro; & Trade; s application idweb 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetStudentInconsistencies method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27375 (lien direct)	L'authentification manquante dans la méthode StudentPopupDetails_ContactDetails dans IdAttyd & acirc; & euro; & Trade; s Application Idweb Application 3.1.052 et antérieure permet l'extraction de données d'étudiants sensibles par des attaquants non authentifiés. Missing authentication in the StudentPopupDetails_ContactDetails method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction of sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27258 (lien direct)	Authentification manquante dans la méthode GetStudentGroupPoupSudents dans IdAnd & acirc; & euro; & Trade; S IDWEB Application 3.1.052 et antérieure permet la récupération des données des élèves et des enseignants par des attaquants non authentifiés. Missing authentication in the GetStudentGroupStudents method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows retrieval of student and teacher data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-26583 (lien direct)	Injection de SQL non authentifiée dans la méthode GetCurrentPeriod dans IdAnd & acirc; & euro; & Trade; S IDWEB Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetCurrentPeriod method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27257 (lien direct)	L'authentification manquante dans la méthode GetActivetoileTpass dans IdAnd & acirc; & euro; & Trade; s application idweb application 3.1.052 et antérieure permet la récupération des informations des étudiants par des attaquants non authentifiés. Missing authentication in the GetActiveToiletPasses method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows retrieval of student information by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-26582 (lien direct)	Injection de SQL non authentifiée dans la méthode GetExCursionDetails dans IdAttend & acirc; & euro; & Trade; s Application Idweb Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetExcursionDetails method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27259 (lien direct)	Authentification manquante dans la méthode GetAssignmentsDue dans IdAnd & acirc; & euro; & Trade; S IDWeb Application 3.1.052 et antérieure permet l'extraction de données sensibles des élèves et des enseignants par des attaquants non authentifiés. Missing authentication in the GetAssignmentsDue method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction of sensitive student and teacher data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27261 (lien direct)	Authentification manquante dans la méthode de suppression de détente dans l'application IDATtend & acirc; & euro; & Trade; s Idweb Application 3.1.052 et précédemment permet la suppression de données par des attaquants non authentifiés. Missing authentication in the DeleteAssignments method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows deletion of data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27256 (lien direct)	Authentification manquante dans la méthode GetLogFiles dans IDATtend & acirc; & euro; & Trade; s Application IdWeb Application 3.1.052 et précédemment permet la récupération des fichiers journaux sensibles par des attaquants non authentifiés. Missing authentication in the GetLogFiles method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows retrieval of sensitive log files by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27260 (lien direct)	Injection SQL non authentifiée dans la méthode GetAssignmentsDue dans IdAnd & acirc; & euro; & Trade; s Application IDWeb Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetAssignmentsDue method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27376 (lien direct)	L'authentification manquante dans la méthode StudentPopupDetails_StudentDetails dans IdAttend & acirc; & euro; & Trade; s Application idweb Application 3.1.052 et antérieure permet l'extraction de données d'étudiants sensibles par des attaquants non authentifiés. Missing authentication in the StudentPopupDetails_StudentDetails method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction of sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-27254 (lien direct)	Injection SQL non authentifiée dans la méthode GetroomChanges dans IdAnd & acirc; & euro; & Trade; s Application IDWeb Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetRoomChanges method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:26	CVE-2023-26581 (lien direct)	Injection SQL non authentifiée dans la méthode GetVisitors dans IdAnd & acirc; & euro; & Trade; s Application Idweb Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetVisitors method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26576 (lien direct)	L'authentification manquante dans la méthode SearchStudentsRFID dans IdAnd & acirc; & euro; & Trade; s Application IDWeb Application 3.1.052 et précédemment permet aux attaquants des étudiants sensibles à l'extraction par des attaquants non authentifiés. Missing authentication in the SearchStudentsRFID method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26579 (lien direct)	Authentification manquante dans la méthode Deletestaff dans IdAttend & acirc; & euro; & Trade; s application idweb application 3.1.013 permet la suppression des informations du personnel par les attaquants non authentifiés. Missing authentication in the DeleteStaff method in IDAttendâ€™s IDWeb application 3.1.013 allows deletion of staff information by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26580 (lien direct)	Fichier arbitraire non authentifié Lire dans l'IDATDEND & acirc; & euro; & Trade; s Application IDWeb Application 3.1.013 permet la récupération de tout fichier présent sur le serveur Web par des attaquants non authentifiés. Unauthenticated arbitrary file read in the IDAttendâ€™s IDWeb application 3.1.013 allows the retrieval of any file present on the web server by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26568 (lien direct)	Injection de SQL non authentifiée dans la méthode GetStudentGroupPoupSudents dans IDATDEND & acirc; & euro; & Trade; s Application Idweb 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetStudentGroupStudents method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26575 (lien direct)	Authentification manquante dans la méthode SearchStudentsStaff dans IDATtend & acirc; & euro; & Trade; S IDWEB Application 3.1.052 et précédemment permet aux attaquants des élèves et des enseignants sensibles à l'extraction par des attaquants non authentifiés. Missing authentication in the SearchStudentsStaff method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction sensitive student and teacher data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26572 (lien direct)	Injection de SQL non authentifiée dans la méthode GetExcursionList dans IdAnd & acirc; & euro; & Trade; S IDWEB Application 3.1.052 et antérieure permet d'extraction ou de modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the GetExcursionList method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26574 (lien direct)	Authentification manquante dans la méthode SearchStudents dans IdAttend & acirc; & euro; & Trade; s Application IDWeb Application 3.1.052 et antérieure permet aux attaquants des étudiants sensibles à l'extraction par des attaquants non authentifiés. Missing authentication in the SearchStudents method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26569 (lien direct)	Injection de SQL non authentifiée dans la méthode StudentPopupDetails_timeTable dans IdAnd & acirc; & euro; & Trade; s Application IDWeb 3.1.052 et antérieure permet l'extraction ou la modification de toutes les données par des attaquants non authentifiés. Unauthenticated SQL injection in the StudentPopupDetails_Timetable method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction or modification of all data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26219 (lien direct)	Les composants de Hawk Console and Hawk Agent of Tibco Software INC. \'S Tibco Hawk, Tibco Hawk Distribution pour Tibco Silver Fabric, Tibco Operational Intelligence Hawk Redtail et Tibco Runtime Agent contiennent une vulnérabilité qui permet théoriquement un attaquant avec accès au HawkConsole & acirc; & euro; & Trade; s et agent & acirc; & euro; & Trade; s journal pour obtenir des informations d'identification utilisées pour accéder aux serveurs EMS associés.Les versions affectées sont Tibco Software INC. \'S Tibco Hawk: Versions 6.2.2 et ci-dessous, Tibco Hawk Distribution pour Tibco Silver Fabric: Versions 6.2.2 et ci-dessous, Tibco Operation Intelligence Hawk Redtail: Versions 7.2.1 et ci-dessous, etTIBCO Runtime Agent: Versions 5.12.2 et ci-dessous. The Hawk Console and Hawk Agent components of TIBCO Software Inc.\'s TIBCO Hawk, TIBCO Hawk Distribution for TIBCO Silver Fabric, TIBCO Operational Intelligence Hawk RedTail, and TIBCO Runtime Agent contain a vulnerability that theoretically allows an attacker with access to the Hawk Consoleâ€™s and Agentâ€™s log to obtain credentials used to access associated EMS servers. Affected releases are TIBCO Software Inc.\'s TIBCO Hawk: versions 6.2.2 and below, TIBCO Hawk Distribution for TIBCO Silver Fabric: versions 6.2.2 and below, TIBCO Operational Intelligence Hawk RedTail: versions 7.2.1 and below, and TIBCO Runtime Agent: versions 5.12.2 and below.	Vulnerability
	2023-10-25 18:17:25	CVE-2023-26571 (lien direct)	L'authentification manquante dans la méthode SetStudentNotes dans IdAnd & acirc; & euro; & Trade; s application idweb application 3.1.052 et précédemment permet la modification des données des étudiants par des attaquants non authentifiés. Missing authentication in the SetStudentNotes method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows modification of student data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26570 (lien direct)	L'authentification manquante dans la méthode StudentPopupDetails_timetable dans IdAnd & acirc; & Euro; & Trade; s Application IDWeb Application 3.1.052 et antérieure permet aux attaquants des étudiants sensibles à l'extraction par des attaquants non authentifiés. Missing authentication in the StudentPopupDetails_Timetable method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows extraction sensitive student data by unauthenticated attackers.
	2023-10-25 18:17:25	CVE-2023-26573 (lien direct)	Authentification manquante dans la méthode setDB dans IdAttyd & acirc; & euro; & Trade; s application idweb application 3.1.052 et précédemment permet le déni de service ou le vol des informations d'identification de connexion de base de données. Missing authentication in the SetDB method in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows denial of service or theft of database login credentials.
	2023-10-25 18:17:25	CVE-2023-26577 (lien direct)	Scripting inter-sites stocké dans l'application IDATDEND & acirc; & euro; & Trade; s application 3.1.052 et permet aux attaquants de détourner la session de navigation de l'utilisateur connecté. Stored cross-site scripting in the IDAttendâ€™s IDWeb application 3.1.052 and earlier allows attackers to hijack the browsing session of the logged in user.
	2023-10-25 18:17:25	CVE-2023-26578 (lien direct)	Téléchargement de fichiers arbitraires sur le Web Root dans l'IdAttend & acirc; & euro; & Trade; S Application IDWeb Application 3.1.013 permet aux attaquants authentifiés de télécharger des fichiers dangereux sur la racine Web tels que ASP ou ASPX, gagnant une exécution de commande sur le serveur affecté. Arbitrary file upload to web root in the IDAttendâ€™s IDWeb application 3.1.013 allows authenticated attackers to upload dangerous files to web root such as ASP or ASPX, gaining command execution on the affected server.
	2023-10-25 18:17:24	CVE-2023-25032 (lien direct)	Auth.(Admin +) Vulnérabilité de script inter-sites stockées (XSS) en imprimé, PDF, e-mail par Printfriendly Plugin	Vulnerability
	2023-10-25 18:17:23	CVE-2023-23767 (lien direct)	Affectation d'autorisation incorrecte pour la ressource critique dans GitHub Enterprise Server qui a permis aux comptes d'utilisateurs du système d'exploitation locaux de lire les détails de la connexion MySQL, y compris le mot de passe MySQL via des fichiers de configuration. & Acirc; & nbsp; Cette vulnérabilité a affecté toutes les versions de GitHub Enterprise Server et a été corrigé dans les versions 3.7.18, 3.8.11, 3.9.6 et 3.10.3. Incorrect Permission Assignment for Critical Resource in GitHub Enterprise Server that allowed local operating system user accounts to read MySQL connection details including the MySQL password via configuration files.Â This vulnerability affected all versions of GitHub Enterprise Server and was fixed in versions 3.7.18, 3.8.11, 3.9.6, and 3.10.3.	Vulnerability
	2023-10-25 18:17:23	CVE-2023-20273 (lien direct)	Une vulnérabilité dans la fonction d'interface utilisateur Web du logiciel Cisco IOS XE pourrait permettre à un attaquant distant authentifié d'injecter des commandes avec les privilèges de Root. Cette vulnérabilité est due à une validation d'entrée insuffisante.Un attaquant pourrait exploiter cette vulnérabilité en envoyant une entrée fabriquée à l'interface utilisateur Web.Un exploit réussi pourrait permettre à l'attaquant d'injecter des commandes au système d'exploitation sous-jacent avec des privilèges racine. A vulnerability in the web UI feature of Cisco IOS XE Software could allow an authenticated, remote attacker to inject commands with the privileges of root. This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by sending crafted input to the web UI. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges.	Vulnerability Threat
	2023-10-25 18:17:22	CVE-2023-1356 (lien direct)	Les scripts transversaux réfléchis dans le composant Studentsearch dans IdAnd & acirc; & euro; & Trade; s Application Idweb Application 3.1.052 et permettent auparavant le détournement d'un utilisateur & acirc; & euro; & Trade;lien. Reflected cross-site scripting in the StudentSearch component in IDAttendâ€™s IDWeb application 3.1.052 and earlier allows hijacking of a userâ€™s browsing session by attackers who have convinced the said user to click on a malicious link.
	2023-10-25 18:17:15	CVE-2022-3699 (lien direct)	Une vulnérabilité d'escalade des privilèges a été signalée dans le Lenovo Hardwarescanplugin avant la version & acirc; & nbsp; 1.3.1.2 et & acirc; & nbsp; Lenovo Diagnostics avant la version 4.45 Cela pourrait permettre à un utilisateur local d'exécuter du code avec des privilèges élevés. A privilege escalation vulnerability was reported in the Lenovo HardwareScanPlugin prior to versionÂ 1.3.1.2 andÂ Lenovo Diagnostics prior to version 4.45 that could allow a local user to execute code with elevated privileges.	Vulnerability
	2023-10-25 18:17:15	CVE-2022-3698 (lien direct)	Une vulnérabilité de déni de service a été signalée dans les versions de Lenovo Hardwarescanplugin avant 1.3.1.2 et & acirc; & nbsp; Lenovo Diagnostics Versions avant 4,45 Cela pourrait permettre à un utilisateur local avec un accès administratif pour déclencher un crash système. A denial of service vulnerability was reported in the Lenovo HardwareScanPlugin versions prior to 1.3.1.2 andÂ Lenovo Diagnostics versions prior to 4.45 that could allow a local user with administrative access to trigger a system crash.	Vulnerability
	2023-10-25 18:17:14	CVE-2022-38484 (lien direct)	Une vulnérabilité arbitraire de téléchargement de fichiers et de transfert de répertoire existe dans la fonctionnalité de téléchargement de fichiers du menu de configuration du système dans le portail Agevolt avant la version 0.1.Un attaquant authentifié distant pourrait tirer parti de cette vulnérabilité pour télécharger des fichiers sur n'importe quel emplacement du système d'exploitation cible avec des privilèges de serveur Web. An arbitrary file upload and directory traversal vulnerability exist in the file upload functionality of the System Setup menu in AgeVolt Portal prior to version 0.1. A remote authenticated attacker could leverage this vulnerability to upload files to any location on the target operating system with web server privileges.	Vulnerability
	2023-10-25 18:17:14	CVE-2022-38485 (lien direct)	Une vulnérabilité de traversée de répertoires existe dans le portail Agevolt avant la version 0.1 qui conduit à une divulgation d'informations.Un attaquant authentifié distant pourrait tirer parti de cette vulnérabilité à lire des fichiers à partir de n'importe quel emplacement du système d'exploitation cible avec des privilèges de serveur Web. A directory traversal vulnerability exists in the AgeVolt Portal prior to version 0.1 that leads to Information Disclosure. A remote authenticated attacker could leverage this vulnerability to read files from any location on the target operating system with web server privileges.	Vulnerability

Last update at: 2024-05-18 16:08:16
See our sources.

To see everything: Our RSS (filtrered)