SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-11-06 06:15:40	CVE-2023-38406 (lien direct)	Bgpd / bgp_flowspe.c dans Frroutting (FRR) Avant 8.4.3 Mishandles Une longueur NLRI de zéro, aka un "Flowspec Overflow". bgpd/bgp_flowspec.c in FRRouting (FRR) before 8.4.3 mishandles an nlri length of zero, aka a "flowspec overflow."
	2023-11-06 06:15:40	CVE-2023-47253 (lien direct)	Qualitor via 8.20 permet aux attaquants distants d'exécuter du code arbitraire via le code PHP dansLe HTML / AD / ADPESQUISASQL / DEMESC / ProcessVariavevel.PHP GridValoResPophidden. Qualitor through 8.20 allows remote attackers to execute arbitrary code via PHP code in the html/ad/adpesquisasql/request/processVariavel.php gridValoresPopHidden parameter.
	2023-11-06 05:15:15	CVE-2023-4625 (lien direct)	Une mauvaise restriction de l'authentification excessive tente la vulnérabilité dans Mitsubishi Electric Corporation MELSEC IQ-F Series CPU Modules La fonction du serveur Web permet à un attaquant non authentifié distant d'empêcher les utilisateurs légitimes de se connecter à la fonction du serveur Web pendant une certaine période après que l'attaquant a tenté de se connecter en illégalement à illégalement à illégalement pour une certaine période après que l'attaquant a tenté de se connecter en illégalement en illégalement à illégalement pour une certaine période après que l'attaquant a tenté de se connecter en illégalement illégalementEn tentant continuellement de connexion non autorisée à la fonction du serveur Web.L'impact de cette vulnérabilité persistera tandis que l'attaquant continue de tenter la connexion non autorisée. Improper Restriction of Excessive Authentication Attempts vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series CPU modules Web server function allows a remote unauthenticated attacker to prevent legitimate users from logging into the Web server function for a certain period after the attacker has attempted to log in illegally by continuously attempting unauthorized login to the Web server function. The impact of this vulnerability will persist while the attacker continues to attempt unauthorized login.	Vulnerability
	2023-11-06 04:15:08	CVE-2023-32839 (lien direct)	Dans DPE, il y a une écriture de limites possibles en raison d'une vérification de la plage valide manquante.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS07262576;ID d'émission: ALPS07262576. In dpe, there is a possible out of bounds write due to a missing valid range checking. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS07262576; Issue ID: ALPS07262576.
	2023-11-06 04:15:08	CVE-2023-32840 (lien direct)	Dans le modem CCCI, il y a une écriture hors limites possible en raison d'une vérification des limites manquantes.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur peut également être nécessaire pour l'exploitation ID du patch: MOLY01138425;ID du numéro: MOLY01138425 (MSV-862). In modem CCCI, there is a possible out of bounds write due to a missing bounds check. This could lead to local escalation of privilege with System execution privileges needed. User interaction may be also needed for exploitation Patch ID: MOLY01138425; Issue ID: MOLY01138425 (MSV-862).
	2023-11-06 04:15:08	CVE-2023-32838 (lien direct)	Dans DPE, il y a une écriture de limites possibles en raison d'une vérification de la plage valide manquante.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS07310805;ID d'émission: ALPS07310805. In dpe, there is a possible out of bounds write due to a missing valid range checking. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS07310805; Issue ID: ALPS07310805.
	2023-11-06 04:15:07	CVE-2023-32832 (lien direct)	Dans la vidéo, il y a une éventuelle corruption de la mémoire en raison d'une condition de course.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS08235273;ID d'émission: ALPS08235273. In video, there is a possible memory corruption due to a race condition. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08235273; Issue ID: ALPS08235273.
	2023-11-06 04:15:07	CVE-2023-20702 (lien direct)	Dans 5G NRLC, il y a un accès à la mémoire invalide possible en raison du manque de gestion des erreurs.Cela pourrait entraîner un déni de service à distance, si l'UE reçut un RLC SDU invalide de 1 octet, sans privilèges d'exécution supplémentaires nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: moly00921261;ID de numéro: MOLY01128895. In 5G NRLC, there is a possible invalid memory access due to lack of error handling. This could lead to remote denial of service, if UE received invalid 1-byte rlc sdu, with no additional execution privileges needed. User interaction is not needed for exploitation. Patch ID: MOLY00921261; Issue ID: MOLY01128895.
	2023-11-06 04:15:07	CVE-2023-32835 (lien direct)	Dans KeyInstall, il y a une éventuelle corruption de la mémoire due à la confusion de type.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS08157918;ID d'émission: ALPS08157918. In keyinstall, there is a possible memory corruption due to type confusion. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08157918; Issue ID: ALPS08157918.
	2023-11-06 04:15:07	CVE-2023-32834 (lien direct)	Dans SECMEM, il y a une corruption de mémoire possible en raison de la confusion de type.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS08161762;ID d'émission: ALPS08161762. In secmem, there is a possible memory corruption due to type confusion. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08161762; Issue ID: ALPS08161762.
	2023-11-06 04:15:07	CVE-2023-32837 (lien direct)	Dans la vidéo, il y a une écriture de limites possibles en raison d'une vérification des limites manquantes.Cela pourrait entraîner une escalade locale de privilèges sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS08235273;ID d'émission: ALPS08250357. In video, there is a possible out of bounds write due to a missing bounds check. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08235273; Issue ID: ALPS08250357.
	2023-11-06 04:15:07	CVE-2023-32818 (lien direct)	Dans VDEC, il y a une écriture de limites possibles en raison de la confusion de type.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: alps08163896 & amp;ALPS08013430;ID de numéro: ALPS07867715. In vdec, there is a possible out of bounds write due to type confusion. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08163896 & ALPS08013430; Issue ID: ALPS07867715.
	2023-11-06 04:15:07	CVE-2023-32836 (lien direct)	Dans l'affichage, il y a une écriture possible des limites en raison d'un débordement entier.Cela pourrait entraîner une escalade locale de privilèges avec les privilèges d'exécution du système nécessaires.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS08126725;ID d'émission: ALPS08126725. In display, there is a possible out of bounds write due to an integer overflow. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS08126725; Issue ID: ALPS08126725.
	2023-11-06 04:15:07	CVE-2023-32825 (lien direct)	Dans le service Bluethooth, il y a une lecture hors limites possible en raison d'une mauvaise validation d'entrée.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.ID de patch: ALPS07884130;ID de numéro: ALPS07884130. In bluethooth service, there is a possible out of bounds reads due to improper input validation. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. Patch ID: ALPS07884130; Issue ID: ALPS07884130.
	2023-11-06 02:15:07	CVE-2023-46802 (lien direct)	E-Tax Software Version3.0.10 et restreint inapproprié les références d'entités externes XML (XXE) en raison de la configuration de l'analyseur XML intégré.En traitant un fichier XML spécialement conçu, les fichiers arbitraires sur le système peuvent être lus par un attaquant. e-Tax software Version3.0.10 and earlier improperly restricts XML external entity references (XXE) due to the configuration of the embedded XML parser. By processing a specially crafted XML file, arbitrary files on the system may be read by an attacker.
	2023-11-06 01:15:08	CVE-2018-25093 (lien direct)	Une vulnérabilité a été trouvée dans Vaerys-Dawn DiscordSailv2 jusqu'à 2.10.2.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du gestionnaire de balises de composant.La manipulation conduit à des contrôles d'accès inappropriés.La mise à niveau vers la version 2.10.3 est en mesure de résoudre ce problème.Le nom du patch est CC12E0BE82A5D05D9F359ED8E56088F4F8B8EB69.Il est recommandé de mettre à niveau le composant affecté.L'identifiant de cette vulnérabilité est VDB-244484. A vulnerability was found in Vaerys-Dawn DiscordSailv2 up to 2.10.2. It has been rated as critical. Affected by this issue is some unknown functionality of the component Tag Handler. The manipulation leads to improper access controls. Upgrading to version 2.10.3 is able to address this issue. The name of the patch is cc12e0be82a5d05d9f359ed8e56088f4f8b8eb69. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-244484.	Vulnerability
	2023-11-06 00:15:09	CVE-2023-47272 (lien direct)	RoundCube 1.5.x avant 1.5.6 et 1.6.x Avant 1.6.5 Permet les XS via un en-tête de type de contenu ou de contenu (utilisé pour l'aperçu ou le téléchargement de la pièce jointe). Roundcube 1.5.x before 1.5.6 and 1.6.x before 1.6.5 allows XSS via a Content-Type or Content-Disposition header (used for attachment preview or download).
	2023-11-06 00:15:09	CVE-2023-47271 (lien direct)	PKP-WAL (AKA PKP Web Application Library ou PKP-Lib) avant 3.3.0-16, tel qu'utilisé dans les systèmes de revues ouverts (OJS) et d'autres produits, ne vérifie pas que le fichier nommé dans un document XML (utilisé pour le natifPlugin d'import / exportation) est un fichier image, avant d'essayer de l'utiliser pour une image de couverture de problème. PKP-WAL (aka PKP Web Application Library or pkp-lib) before 3.3.0-16, as used in Open Journal Systems (OJS) and other products, does not verify that the file named in an XML document (used for the native import/export plugin) is an image file, before trying to use it for an issue cover image.
	2023-11-05 21:15:09	CVE-2018-25092 (lien direct)	Une vulnérabilité a été trouvée dans Vaerys-Dawn DiscordSailv2 jusqu'à 2.10.2.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du gestionnaire de mention de commandement composant.La manipulation conduit à des contrôles d'accès inappropriés.La mise à niveau vers la version 2.10.3 est en mesure de résoudre ce problème.Le patch est nommé CC12E0BE82A5D05D9F359ED8E56088F4F8B8EB69.Il est recommandé de mettre à niveau le composant affecté.L'identifiant associé de cette vulnérabilité est VDB-244483. A vulnerability was found in Vaerys-Dawn DiscordSailv2 up to 2.10.2. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Command Mention Handler. The manipulation leads to improper access controls. Upgrading to version 2.10.3 is able to address this issue. The patch is named cc12e0be82a5d05d9f359ed8e56088f4f8b8eb69. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-244483.	Vulnerability
	2023-11-05 21:15:09	CVE-2017-20187 (lien direct)	Non pris en charge lorsqu'il est attribué non pris en charge lorsqu'il est attribué Une vulnérabilité a été trouvée dans le magnésium-php jusqu'à 0,3,0.Il a été classé comme problématique.La fonction est la fonction FormateMailString du fichier src / magnésium / message / base.php.La manipulation de l'argument par e-mail / nom conduit à l'injection.La mise à niveau vers la version 0.3.1 est en mesure de résoudre ce problème.Le patch est identifié comme 500D340E1F6421007413CC08A8383475221C2604.Il est recommandé de mettre à niveau le composant affecté.VDB-244482 est l'identifiant attribué à cette vulnérabilité.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur. UNSUPPPORTED WHEN ASSIGNED UNSUPPORTED WHEN ASSIGNED A vulnerability was found in Magnesium-PHP up to 0.3.0. It has been classified as problematic. Affected is the function formatEmailString of the file src/Magnesium/Message/Base.php. The manipulation of the argument email/name leads to injection. Upgrading to version 0.3.1 is able to address this issue. The patch is identified as 500d340e1f6421007413cc08a8383475221c2604. It is recommended to upgrade the affected component. VDB-244482 is the identifier assigned to this vulnerability. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.	Vulnerability
	2023-11-05 04:15:10	CVE-2023-47258 (lien direct)	Redmin Avant 4.2.11 et 5.0.x avant 5.0.6 Permet XSS dans un formateur de démarque. Redmine before 4.2.11 and 5.0.x before 5.0.6 allows XSS in a Markdown formatter.
	2023-11-05 04:15:10	CVE-2023-47260 (lien direct)	Redmin avant 4.2.11 et 5.0.x avant 5.0.6 Permet les XS via des miniatures. Redmine before 4.2.11 and 5.0.x before 5.0.6 allows XSS via thumbnails.
	2023-11-05 04:15:10	CVE-2023-47259 (lien direct)	Redmin Avant 4.2.11 et 5.0.x avant 5.0.6 Permet XSS dans le formateur textile. Redmine before 4.2.11 and 5.0.x before 5.0.6 allows XSS in the Textile formatter.
	2023-11-05 00:15:08	CVE-2023-46981 (lien direct)	La vulnérabilité de l'injection SQL dans le nouveau V.4.2.0, permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué au paramètre de tri dans / commun / log / liste. SQL injection vulnerability in Novel-Plus v.4.2.0 allows a remote attacker to execute arbitrary code via a crafted script to the sort parameter in /common/log/list.	Vulnerability
	2023-11-05 00:15:08	CVE-2023-46964 (lien direct)	La vulnérabilité des scripts du site croisé (XSS) dans Hillstone Next Generation Firewall SG-6000-E3960 V.5.5 permet à un attaquant distant d'exécuter du code arbitraire via l'utilisation de filtrage frontal au lieu du filtrage arrière. Cross Site Scripting (XSS) vulnerability in Hillstone Next Generation FireWall SG-6000-e3960 v.5.5 allows a remote attacker to execute arbitrary code via the use front-end filtering instead of back-end filtering.	Vulnerability
	2023-11-05 00:15:08	CVE-2023-47249 (lien direct)	Dans International Color Consortium DemoiccMax 79ECB74, une fonction CiccxMLarRayType ::: Parstext (pour un court métrage non signé) dans iccutilxml.cpp dans libiccxml.a a une lecture hors limites. In International Color Consortium DemoIccMAX 79ecb74, a CIccXmlArrayType:::ParseText function (for unsigned short) in IccUtilXml.cpp in libIccXML.a has an out-of-bounds read.
	2023-11-04 23:15:08	CVE-2023-46382 (lien direct)	LOYTEC LINX-212 Firmware 6.2.4 et LVIS-3ME12-A1 Firmware 6.2.2 et LIOB-586 Firmware 6.2.3 Appareils Utilisez ClearText HTTP pour la connexion. LOYTEC LINX-212 firmware 6.2.4 and LVIS-3ME12-A1 firmware 6.2.2 and LIOB-586 firmware 6.2.3 devices use cleartext HTTP for login.
	2023-11-04 23:15:08	CVE-2023-46963 (lien direct)	Un problème dans Pékin Yunfan Internet Technology Co., Ltd, Yunfan Learning Examination System V.6.5 permet à un attaquant distant d'obtenir des informations sensibles via le paramètre de mot de passe dans la fonction de connexion. An issue in Beijing Yunfan Internet Technology Co., Ltd, Yunfan Learning Examination System v.6.5 allows a remote attacker to obtain sensitive information via the password parameter in the login function.
	2023-11-04 23:15:07	CVE-2023-46380 (lien direct)	LOYTEC LINX-212 Firmware 6.2.4 et LVIS-3ME12-A1 Firmware 6.2.2 et LIOB-586 Firmware 6.2.3 Appareils Envoyer des demandes de changement de mot de passe via ClearText HTTP. LOYTEC LINX-212 firmware 6.2.4 and LVIS-3ME12-A1 firmware 6.2.2 and LIOB-586 firmware 6.2.3 devices send password-change requests via cleartext HTTP.
	2023-11-04 23:15:07	CVE-2023-40922 (lien direct)	Kerawen avant V2.5.1 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre OCS_ID_CART à KerawenDeliveryModuleFrontController :: initContent (). kerawen before v2.5.1 was discovered to contain a SQL injection vulnerability via the ocs_id_cart parameter at KerawenDeliveryModuleFrontController::initContent().	Vulnerability
	2023-11-04 23:15:07	CVE-2023-46381 (lien direct)	Les appareils Firmware 6.2.4 et LVIS-3ME12-A1 du firmware 6.2.2 et LVIS-3ME12-A1 ont une authentification pour la version préinstallée du micrologiciel 6.2.3.Un attaquant non authentifié peut éditer n'importe quel projet (ou créer un nouveau projet) et contrôler son GUI. LOYTEC LINX-212 firmware 6.2.4 and LVIS-3ME12-A1 firmware 6.2.2 and LIOB-586 firmware 6.2.3 devices lack authentication for the preinstalled version of LWEB-802 via an lweb802_pre/ URI. An unauthenticated attacker can edit any project (or create a new project) and control its GUI.
	2023-11-04 00:15:08	CVE-2023-35910 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans Nucleus_genius Quasar Form Free & acirc; & euro; & ldquo;Contact Form Builder pour WordPress permet l'injection SQL. Ce problème affecte le formulaire quasar gratuit & acirc; & euro; & ldquo;Contact Form Builder pour WordPress: De N / A à 6.0. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Nucleus_genius Quasar form free â€“ Contact Form Builder for WordPress allows SQL Injection.This issue affects Quasar form free â€“ Contact Form Builder for WordPress: from n/a through 6.0.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-40215 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la vulnérabilité dans l'annotation de l'image de démon DemonisBlack permet l'injection SQL.Ce problème affecte l'annotation de l'image de démon: de N / A à 5.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Demonisblack demon image annotation allows SQL Injection.This issue affects demon image annotation: from n/a through 5.1.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-32741 (lien direct)	Une neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans les solutions de chemin informatique Pvt Ltd Contact Form à toute API permet l'injection SQL.Ce problème affecte le formulaire de contact à toute API: de N / A à travers1.1.2. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in IT Path Solutions PVT LTD Contact Form to Any API allows SQL Injection.This issue affects Contact Form to Any API: from n/a through 1.1.2.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-38391 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans le constructeur de la page ThemesGrove permet l'injection SQL.Ce problème affecte un constructeur OnePage: de N / A à 2.4.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Themesgrove Onepage Builder allows SQL Injection.This issue affects Onepage Builder: from n/a through 2.4.1.	Vulnerability
	2023-11-03 23:15:08	CVE-2023-36677 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans SmartyPants SP Project & amp;Le gestionnaire de documents permet à SQL injection. Ce problème affecte le projet SP & amp;Gestionnaire de documents: de N / A à 4.67. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Smartypants SP Project & Document Manager allows SQL Injection.This issue affects SP Project & Document Manager: from n/a through 4.67.	Vulnerability
	2023-11-03 23:15:08	CVE-2023-45189 (lien direct)	Une vulnérabilité dans IBM Robotic Process Automation et IBM Robotic Process Automation for Cloud PAK 21.0.0 à 21.0.7.10, 23.0.0 à 23.0.10 peut entraîner l'accès aux informations d'identification du client Vault.Cette vulnérabilité difficile à exploiter pourrait permettre à un attaquant privilégié faible d'accéder à des informations d'identification Client Vault Client.IBM X-FORCE ID: 268752. A vulnerability in IBM Robotic Process Automation and IBM Robotic Process Automation for Cloud Pak 21.0.0 through 21.0.7.10, 23.0.0 through 23.0.10 may result in access to client vault credentials. This difficult to exploit vulnerability could allow a low privileged attacker to programmatically access client vault credentials. IBM X-Force ID: 268752.	Vulnerability Threat Cloud
	2023-11-03 21:15:17	CVE-2023-47233 (lien direct)	Le composant BRCM80211 dans le noyau Linux via 6.5.10 a un BRCMF_CFG80211_DETACH USE-APRÈS-FREE DANS L'APPRIPATION DU DÉBUTHAGE (DÉCONCRIPTIONS LE CODE USB BY PUST PLUG).Pour les attaquants physiquement immédiatement avec un accès local, ce "pourrait être exploité dans un scénario du monde réel".Ceci est lié à BRCMF_CFG80211_escan_timeout_worker dans Drivers / Net / Wireless / Broadcom / BRCM80211 / BRCMFMAC / CFG80211.c. The brcm80211 component in the Linux kernel through 6.5.10 has a brcmf_cfg80211_detach use-after-free in the device unplugging (disconnect the USB by hotplug) code. For physically proximate attackers with local access, this "could be exploited in a real world scenario." This is related to brcmf_cfg80211_escan_timeout_worker in drivers/net/wireless/broadcom/brcm80211/brcmfmac/cfg80211.c.
	2023-11-03 21:15:17	CVE-2023-47235 (lien direct)	Un problème a été découvert dans FRROUTING FRR à 9.0.1.Un accident peut se produire lorsqu'un message de mise à jour BGP malformé avec un EOR est traité, car la présence d'EOR ne conduit pas à un résultat de gâterie. An issue was discovered in FRRouting FRR through 9.0.1. A crash can occur when a malformed BGP UPDATE message with an EOR is processed, because the presence of EOR does not lead to a treat-as-withdraw outcome.
	2023-11-03 21:15:17	CVE-2023-47234 (lien direct)	Un problème a été découvert dans FRROUTING FRR à 9.0.1.Un accident peut se produire lors du traitement d'un message de mise à jour BGP fabriqué avec un attribut mp_unreach_nlri et des données NLRI supplémentaires (qui manque d'attributs de chemin obligatoires). An issue was discovered in FRRouting FRR through 9.0.1. A crash can occur when processing a crafted BGP UPDATE message with a MP_UNREACH_NLRI attribute and additional NLRI data (that lacks mandatory path attributes).
	2023-11-03 20:15:09	CVE-2023-41725 (lien direct)	Ivanti Avalanche EnterpriseServer Service Fichier sans restriction Téléchargez la vulnérabilité d'escalade des privilèges locaux Ivanti Avalanche EnterpriseServer Service Unrestricted File Upload Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:09	CVE-2023-41726 (lien direct)	Ivanti Avalanche Les autorisations par défaut incorrectes permettent une vulnérabilité d'escalade des privilèges locaux Ivanti Avalanche Incorrect Default Permissions allows Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:08	CVE-2022-43555 (lien direct)	Ivanti Avalanche Imprimante Device Service Authentification manquante Authentification Local Privilege Escalation Vulnérabilité Ivanti Avalanche Printer Device Service Missing Authentication Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:08	CVE-2022-43554 (lien direct)	Ivanti Avalanche Smart Device Service Authentification manquante Authentification Local Privilege Escalation Vulnérabilité Ivanti Avalanche Smart Device Service Missing Authentication Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:08	CVE-2022-44569 (lien direct)	Un attaquant authentifié localement avec de faibles privilèges peut contourner l'authentification en raison de la communication inter-processus non sécurisée. A locally authenticated attacker with low privileges can bypass authentication due to insecure inter-process communication.
	2023-11-03 20:15:08	CVE-2022-3172 (lien direct)	Un problème de sécurité a été découvert dans Kube-Apeiserver qui autorise un Serveur API agrégé vers rediriger le trafic client vers n'importe quelle URL.Cela pourrait conduire au client effectuer des actions inattendues ainsi que le transfert Les informations d'identification du serveur API du client \\ à des tiers. A security issue was discovered in kube-apiserver that allows an aggregated API server to redirect client traffic to any URL. This could lead to the client performing unexpected actions as well as forwarding the client\'s API server credentials to third parties.
	2023-11-03 18:15:08	CVE-2023-3893 (lien direct)	Un problème de sécurité a été découvert à Kubernetes où un utilisateur qui peut Créer des pods sur les nœuds Windows exécutant Kubernetes-Csi-Proxy peut être capable de Escaladez les privilèges d'administration sur ces nœuds.Les clusters Kubernetes sont affecté uniquement s'ils incluent les nœuds Windows en cours d'exécution Kubernetes-Csi-Proxy. A security issue was discovered in Kubernetes where a user that can create pods on Windows nodes running kubernetes-csi-proxy may be able to escalate to admin privileges on those nodes. Kubernetes clusters are only affected if they include Windows nodes running kubernetes-csi-proxy.		Uber
	2023-11-03 17:15:08	CVE-2023-39299 (lien direct)	Une vulnérabilité de traversée de chemin a été rapportée pour affecter la station de musique.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs de lire le contenu des fichiers inattendus et d'exposer des données sensibles via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: Station de musique 4.8.11 et plus tard Station de musique 5.1.16 et plus tard Station musicale 5.3.23 et plus tard A path traversal vulnerability has been reported to affect Music Station. If exploited, the vulnerability could allow users to read the contents of unexpected files and expose sensitive data via a network. We have already fixed the vulnerability in the following versions: Music Station 4.8.11 and later Music Station 5.1.16 and later Music Station 5.3.23 and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-23369 (lien direct)	Une vulnérabilité d'injection de commande OS a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs d'exécuter des commandes via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: Console multimédia 2.1.2 (2023/05/04) et plus tard Console multimédia 1.4.8 (2023/05/05) et plus tard QTS 5.1.0.2399 Build 20230515 et plus tard QTS 4.3.6.2441 Build 20230621 et plus tard QTS 4.3.4.2451 Build 20230621 et plus tard QTS 4.3.3.2420 Build 20230621 et plus tard QTS 4.2.6 Build 20230621 et plus tard Média streaming complément 500.1.1.2 (2023/06/12) et plus tard Média streaming complément 500.0.0.11 (2023/06/16) et plus tard An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network. We have already fixed the vulnerability in the following versions: Multimedia Console 2.1.2 ( 2023/05/04 ) and later Multimedia Console 1.4.8 ( 2023/05/05 ) and later QTS 5.1.0.2399 build 20230515 and later QTS 4.3.6.2441 build 20230621 and later QTS 4.3.4.2451 build 20230621 and later QTS 4.3.3.2420 build 20230621 and later QTS 4.2.6 build 20230621 and later Media Streaming add-on 500.1.1.2 ( 2023/06/12 ) and later Media Streaming add-on 500.0.0.11 ( 2023/06/16 ) and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-39301 (lien direct)	Une vulnérabilité de contrefaçon de demande côté serveur (SSRF) a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés de lire les données d'application via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: QTS 5.0.1.2514 Build 20230906 et plus tard QTS 5.1.1.2491 Build 20230815 et plus tard Quts Hero H5.0.1.2515 Build 20230907 et plus tard QUTS Hero H5.1.1.2488 Build 20230812 et plus tard QUTSCLOUD C5.1.0.2498 et plus tard A server-side request forgery (SSRF) vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated users to read application data via a network. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2514 build 20230906 and later QTS 5.1.1.2491 build 20230815 and later QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.1.2488 build 20230812 and later QuTScloud c5.1.0.2498 and later	Vulnerability

Last update at: 2024-05-05 15:07:58
See our sources.

To see everything: Our RSS (filtrered)