SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-11-03 06:15:07	CVE-2023-41351 (lien direct)	Chunghwa Telecom Nokia G-040W-Q a une vulnérabilité de contournement d'authentification, ce qui permet à un attaquant distant non authentifié de contourner le mécanisme d'authentification pour se connecter à l'appareil par une URL alternative.Cela permet aux attaquants distants non authentifiés de se connecter en tant qu'utilisateurs existants, tels qu'un administrateur, d'effectuer des opérations système arbitraires ou un service de perturbation. Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of authentication bypass, which allows an unauthenticated remote attacker to bypass the authentication mechanism to log in to the device by an alternative URL. This makes it possible for unauthenticated remote attackers to log in as any existing users, such as an administrator, to perform arbitrary system operations or disrupt service.	Vulnerability
	2023-11-03 06:15:07	CVE-2023-41353 (lien direct)	Chunghwa Telecom Nokia G-040W-Q a une vulnérabilité des exigences de mot de passe faibles.Un attaquant distant avec un privilège utilisateur régulier peut facilement déduire le mot de passe de l'administrateur à partir des informations système après le système de journalisation, entraînant l'accès à l'administrateur et effectuer des opérations système arbitraires ou un service de perturbation. Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of weak password requirements. A remote attacker with regular user privilege can easily infer the administrator password from system information after logging system, resulting in admin access and performing arbitrary system operations or disrupt service.	Vulnerability
	2023-11-03 05:15:30	CVE-2023-45362 (lien direct)	Un problème a été découvert dans différencengine.php dans MediaWiki avant 1.35.12, 1.36.x via 1.39.x avant 1.39.5 et 1.40.x avant 1.40.1.Difff-Multi-nomus (aka "x Intermediate Revisions par le même utilisateur non montré") Ignore la suppression du nom d'utilisateur.Il s'agit d'une fuite d'informations. An issue was discovered in DifferenceEngine.php in MediaWiki before 1.35.12, 1.36.x through 1.39.x before 1.39.5, and 1.40.x before 1.40.1. diff-multi-sameuser (aka "X intermediate revisions by the same user not shown") ignores username suppression. This is an information leak.
	2023-11-03 05:15:30	CVE-2023-41914 (lien direct)	SchedMd Slurm 23.02.x avant 23.02.6 et 22.05.x avant 22.05.10 permet des conditions de course de fichiers pour obtenir la propriété d'un fichier, écraser un fichier ou supprimer des fichiers. SchedMD Slurm 23.02.x before 23.02.6 and 22.05.x before 22.05.10 allows filesystem race conditions for gaining ownership of a file, overwriting a file, or deleting files.
	2023-11-03 05:15:30	CVE-2023-45360 (lien direct)	Un problème a été découvert dans MediaWiki avant 1.35.12, 1.36.x via 1.39.x avant 1.39.5 et 1.40.x avant 1.40.1.Il y a des XS dans YouHavenewMessagesManyusers et YouHavenewMessages I18n.Ceci est lié à MediaWiki: YouHavenewMessagesfromUsers. An issue was discovered in MediaWiki before 1.35.12, 1.36.x through 1.39.x before 1.39.5, and 1.40.x before 1.40.1. There is XSS in youhavenewmessagesmanyusers and youhavenewmessages i18n messages. This is related to MediaWiki:Youhavenewmessagesfromusers.
	2023-11-03 05:15:30	CVE-2023-43665 (lien direct)	Dans Django 3.2 avant 3.2.22, 4.1 avant 4.1.12 et 4.2 avant 4.2.6, les méthodes django.utils.text.truncator chars () et words () (lorsqu'elles sont utilisées avec html = true) sont soumises à un potentielDOS (Denial of Service) Attaque via certaines entrées avec un texte HTML très long et potentiellement malformé.Les méthodes Chars () et Words () sont utilisées pour implémenter les filtres de modèle TruncateChars_HTML et Truncatewords_HTML, qui sont donc également vulnérables.Remarque: ce problème existe en raison d'une correction incomplète pour CVE-2019-14232. In Django 3.2 before 3.2.22, 4.1 before 4.1.12, and 4.2 before 4.2.6, the django.utils.text.Truncator chars() and words() methods (when used with html=True) are subject to a potential DoS (denial of service) attack via certain inputs with very long, potentially malformed HTML text. The chars() and words() methods are used to implement the truncatechars_html and truncatewords_html template filters, which are thus also vulnerable. NOTE: this issue exists because of an incomplete fix for CVE-2019-14232.
	2023-11-03 05:15:30	CVE-2023-46517 (lien direct)	Rejeter N'utilisez pas ce numéro de candidat.ConsultIdS: Aucun.Raison: Ce candidat a été retiré par son CNA.Une enquête plus approfondie a montré que ce n'était pas un problème de sécurité.Remarques: Aucun. REJECT DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.
	2023-11-03 05:15:30	CVE-2023-43982 (lien direct)	Bon Presta Boninstagramcarel entre v5.2.1 à v7.0.0 a été découvert qu'il contenait un contrefaçon de demande côté serveur (SSRF) via le paramètre URL sur insta_parser.php.Cette vulnérabilité permet aux attaquants d'utiliser le site Web vulnérable comme proxy pour attaquer d'autres sites Web ou exfiltrate des données via un appel HTTP. Bon Presta boninstagramcarousel between v5.2.1 to v7.0.0 was discovered to contain a Server-Side Request Forgery (SSRF) via the url parameter at insta_parser.php. This vulnerability allows attackers to use the vulnerable website as proxy to attack other websites or exfiltrate data via a HTTP call.	Vulnerability
	2023-11-03 05:15:30	CVE-2023-44271 (lien direct)	Un problème a été découvert dans l'oreiller avant 10.0.0.Il s'agit d'un déni de service qui alloue incontrôlablement la mémoire pour traiter une tâche donnée, provoquant un plan de service en le faire s'épanouir de la mémoire.Cela se produit pour TrueType dans ImageFont lorsque TextLength dans une instance iMageDRAW fonctionne sur un long argument texte. An issue was discovered in Pillow before 10.0.0. It is a Denial of Service that uncontrollably allocates memory to process a given task, potentially causing a service to crash by having it run out of memory. This occurs for truetype in ImageFont when textlength in an ImageDraw instance operates on a long text argument.
	2023-11-03 05:15:30	CVE-2023-45024 (lien direct)	Le meilleur tracker de demande pratique (RT) 5 avant 5.0.5 permet la divulgation d'informations via une recherche de transaction dans le constructeur de requête de transaction. Best Practical Request Tracker (RT) 5 before 5.0.5 allows Information Disclosure via a transaction search in the transaction query builder.
	2023-11-03 05:15:30	CVE-2023-46817 (lien direct)	Un problème a été découvert dans PHPFOX avant 4,8.14.Le paramètre de demande d'URL transmis à l'itinéraire / core / redirection n'est pas correctement désinfecté avant d'être utilisé dans un appel à la fonction PHP Unserialize ().Cela peut être exploité par des attaquants éloignés et non authentifiés pour injecter des objets PHP arbitraires dans la portée de l'application, leur permettant d'effectuer une variété d'attaques, telles que l'exécution du code PHP arbitraire. An issue was discovered in phpFox before 4.8.14. The url request parameter passed to the /core/redirect route is not properly sanitized before being used in a call to the unserialize() PHP function. This can be exploited by remote, unauthenticated attackers to inject arbitrary PHP objects into the application scope, allowing them to perform a variety of attacks, such as executing arbitrary PHP code.
	2023-11-03 05:15:29	CVE-2023-41164 (lien direct)	Dans Django 3.2 avant 3.2.21, 4.1 avant 4.1.11 et 4.2 avant 4.2.5, django.utils.encoding.uri_to_iri () est soumis à une attaque potentielle DOS (déni de service) via certaines entrées avec un très grand nombredes caractères Unicode. In Django 3.2 before 3.2.21, 4.1 before 4.1.11, and 4.2 before 4.2.5, django.utils.encoding.uri_to_iri() is subject to a potential DoS (denial of service) attack via certain inputs with a very large number of Unicode characters.
	2023-11-03 05:15:29	CVE-2023-41259 (lien direct)	Le meilleur tracker de demande pratique (RT) avant 4.4.7 et 5.x avant 5.0.5 permet la divulgation d'informations via des en-têtes de messagerie RT faux ou spoofed dans un e-mail ou un appel API REST Gateway. Best Practical Request Tracker (RT) before 4.4.7 and 5.x before 5.0.5 allows Information Disclosure via fake or spoofed RT email headers in an email message or a mail-gateway REST API call.
	2023-11-03 05:15:29	CVE-2023-41343 (lien direct)	La fonction de téléchargement de fichiers de la base de données Rogic No-Code Builder \\ a un filtrage insuffisant pour des caractères spéciaux.Un attaquant distant avec un privilège utilisateur régulier peut injecter JavaScript pour effectuer une attaque XSS (script inter-site stockée). Rogic No-Code Database Builder\'s file uploading function has insufficient filtering for special characters. A remote attacker with regular user privilege can inject JavaScript to perform XSS (Stored Cross-Site Scripting) attack.
	2023-11-03 05:15:29	CVE-2023-41346 (lien direct)	La fonction liée à l'authentification ASUS RT-AX55 & ACIRC;Un attaquant distant authentifié peut exploiter cette vulnérabilité pour effectuer une attaque d'injection de commande pour exécuter des commandes arbitraires, perturber le système ou terminer les services. ASUS RT-AX55â€™s authentication-related function has a vulnerability of insufficient filtering of special characters within its token-refresh module. An authenticated remote attacker can exploit this vulnerability to perform a Command Injection attack to execute arbitrary commands, disrupt the system or terminate services.	Vulnerability Threat
	2023-11-03 05:15:29	CVE-2023-38965 (lien direct)	Système d'information perdu et trouvé permet un rachat de compte via le nom d'utilisateur et le mot de passe à A /classes/users.php?f=SAVE URI. Lost and Found Information System 1.0 allows account takeover via username and password to a /classes/Users.php?f=save URI.
	2023-11-03 05:15:29	CVE-2023-41347 (lien direct)	La fonction liée à l'authentification ASUS RT-AX55 & ACIRC; & Euro; & Trade;Un attaquant distant authentifié peut exploiter cette vulnérabilité pour effectuer une attaque d'injection de commande pour exécuter des commandes arbitraires, perturber le système ou terminer les services. ASUS RT-AX55â€™s authentication-related function has a vulnerability of insufficient filtering of special characters within its check token module. An authenticated remote attacker can exploit this vulnerability to perform a Command Injection attack to execute arbitrary commands, disrupt the system or terminate services.	Vulnerability Threat
	2023-11-03 05:15:29	CVE-2023-41350 (lien direct)	Chunghwa Telecom Nokia G-040W-Q a une vulnérabilité de mesures insuffisantes pour empêcher de multiples tentatives d'authentification ratées.Un attaquant distant non authentifié peut exécuter un javascript conçu pour exposer CAPTCHA dans Page, ce qui facilite les bots pour contourner le chèque CAPTCHA et plus sensible aux attaques de force brute. Chunghwa Telecom NOKIA G-040W-Q has a vulnerability of insufficient measures to prevent multiple failed authentication attempts. An unauthenticated remote attacker can execute a crafted Javascript to expose captcha in page, making it very easy for bots to bypass the captcha check and more susceptible to brute force attacks.	Vulnerability
	2023-11-03 05:15:29	CVE-2023-41345 (lien direct)	La fonction liée à l'authentification ASUS RT-AX55 & ACIRC; & Euro;Un attaquant distant authentifié peut exploiter cette vulnérabilité pour effectuer une attaque d'injection de commande pour exécuter des commandes arbitraires, perturber le système ou résilier les services. ASUS RT-AX55â€™s authentication-related function has a vulnerability of insufficient filtering of special characters within its token-generated module. An authenticated remote attacker can exploit this vulnerability to perform a Command Injection attack to execute arbitrary commands, disrupt the system, or terminate services.	Vulnerability Threat
	2023-11-03 05:15:29	CVE-2023-41260 (lien direct)	Le meilleur tracker de demande pratique (RT) avant 4.4.7 et 5.x avant 5.0.5 permet une exposition aux informations dans les réponses aux appels API REST de Mail-Gateway. Best Practical Request Tracker (RT) before 4.4.7 and 5.x before 5.0.5 allows Information Exposure in responses to mail-gateway REST API calls.
	2023-11-03 05:15:29	CVE-2023-41348 (lien direct)	La fonction liée à l'authentification ASUS RT-AX55 & ACIRC; & Euro;Un attaquant distant authentifié peut exploiter cette vulnérabilité pour effectuer une attaque d'injection de commande pour exécuter des commandes arbitraires, perturber le système ou terminer les services. ASUS RT-AX55â€™s authentication-related function has a vulnerability of insufficient filtering of special characters within its code-authentication module. An authenticated remote attacker can exploit this vulnerability to perform a Command Injection attack to execute arbitrary commands, disrupt the system or terminate services.	Vulnerability Threat
	2023-11-03 04:15:21	CVE-2023-36620 (lien direct)	Un problème a été découvert dans l'application de contrôle parental de Boomerang avant 13.83 pour Android.L'application manque l'attribut Android: allongBackup = "false" dans le manifeste.Cela permet à l'utilisateur de sauvegarder la mémoire interne de l'application sur un PC.Cela donne à l'utilisateur l'accès au jeton API qui est utilisé pour authentifier les demandes à l'API. An issue was discovered in the Boomerang Parental Control application before 13.83 for Android. The app is missing the android:allowBackup="false" attribute in the manifest. This allows the user to backup the internal memory of the app to a PC. This gives the user access to the API token that is used to authenticate requests to the API.	Mobile
	2023-11-03 04:15:21	CVE-2023-36621 (lien direct)	Un problème a été découvert dans l'application de contrôle parental de Boomerang via 13.83 pour Android.L'enfant peut utiliser le mode sûr pour éliminer toutes les restrictions temporairement ou désinstaller la demande sans que les parents ne le remarquent. An issue was discovered in the Boomerang Parental Control application through 13.83 for Android. The child can use Safe Mode to remove all restrictions temporarily or uninstall the application without the parents noticing.	Mobile
	2023-11-03 04:15:20	CVE-2023-34259 (lien direct)	Kyocera Taskalfa 4053CI Primantes via 2VG_S000.002.561 Autoriser / WLMDEU% 2F% 2E% 2E% 2F% 2E% 2E Directory Traversal pour lire des fichiers arbitraires sur le système de fichiers, même les fichiers qui nécessitent des privilèges racine.Remarque: ce problème existe en raison d'une correction incomplète pour CVE-2020-23575. Kyocera TASKalfa 4053ci printers through 2VG_S000.002.561 allow /wlmdeu%2f%2e%2e%2f%2e%2e directory traversal to read arbitrary files on the filesystem, even files that require root privileges. NOTE: this issue exists because of an incomplete fix for CVE-2020-23575.
	2023-11-03 04:15:20	CVE-2023-34261 (lien direct)	Les imprimantes KyoCera Taskalfa 4053CI via 2VG_S000.002.561 permettent d'identifier les comptes d'utilisateurs valides via un énumération du nom d'utilisateur car ils conduisent à une erreur "Nicht Einloggen" plutôt qu'à une erreur Falsch. Kyocera TASKalfa 4053ci printers through 2VG_S000.002.561 allow identification of valid user accounts via username enumeration because they lead to a "nicht einloggen" error rather than a falsch error.
	2023-11-03 04:15:20	CVE-2023-31102 (lien direct)	7-zip à 22.01 sur Linux permet un sous-flux entier et une exécution de code via une archive 7Z fabriquée. 7-Zip through 22.01 on Linux allows an integer underflow and code execution via a crafted 7Z archive.
	2023-11-03 04:15:20	CVE-2023-34260 (lien direct)	Les imprimantes Kyocera TaskAlfa 4053CI via 2VG_S000.002.561 Autoriser un déni de service (panne de service) via / wlmdeu% 2f% 2e% 2e% 2f% 2e% 2e suivi d'une référence de répertoire tel que% 2fetc% 00Index.htm pour essayer de lire la référence de répertoire tel que% 2FETC% 00Index./ ETC répertoire. Kyocera TASKalfa 4053ci printers through 2VG_S000.002.561 allow a denial of service (service outage) via /wlmdeu%2f%2e%2e%2f%2e%2e followed by a directory reference such as %2fetc%00index.htm to try to read the /etc directory.
	2023-11-03 04:15:15	CVE-2020-28407 (lien direct)	Dans SWTPM avant 0,4.2 et 0.5.x Avant 0.5.1, un attaquant local peut être en mesure d'écraser des fichiers arbitraires via une attaque à symbolique contre un fichier temporaire tel que TMP2-00.PERMALL. In swtpm before 0.4.2 and 0.5.x before 0.5.1, a local attacker may be able to overwrite arbitrary files via a symlink attack against a temporary file such as TMP2-00.permall.
	2023-11-03 03:15:07	CVE-2023-46954 (lien direct)	Vulnérabilité d'injection SQL dans la relativité ODA LLC RelativityOne V.12.1.537.3 patch 2 et antérieure permet à un attaquant distant d'exécuter du code arbitraire via le paramètre de nom. SQL Injection vulnerability in Relativity ODA LLC RelativityOne v.12.1.537.3 Patch 2 and earlier allows a remote attacker to execute arbitrary code via the name parameter.	Vulnerability
	2023-11-03 03:15:07	CVE-2023-35896 (lien direct)	IBM Content Navigator 3.0.13 est vulnérable à la contrefaçon de demande côté serveur (SSRF).Cela peut permettre à un attaquant authentifié d'envoyer des demandes non autorisées du système, conduisant potentiellement à l'énumération du réseau ou à la facilitation d'autres attaques.IBM X-FORCE ID: 259247. IBM Content Navigator 3.0.13 is vulnerable to server-side request forgery (SSRF). This may allow an authenticated attacker to send unauthorized requests from the system, potentially leading to network enumeration or facilitating other attacks. IBM X-Force ID: 259247.
	2023-11-03 01:15:08	CVE-2023-36034 (lien direct)	Vulnérabilité d'exécution de code distant Microsoft Edge (basé sur le chrome) Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Vulnerability
	2023-11-03 01:15:08	CVE-2023-46176 (lien direct)	Le CD IBM MQ Appliance 9.3 pourrait permettre à un attaquant local d'obtenir des privilèges élevés sur le système, causés par une mauvaise validation des clés de sécurité.IBM X-FORCE ID: 269535. IBM MQ Appliance 9.3 CD could allow a local attacker to gain elevated privileges on the system, caused by improper validation of security keys. IBM X-Force ID: 269535.
	2023-11-03 01:15:07	CVE-2023-36022 (lien direct)	Vulnérabilité d'exécution de code distant Microsoft Edge (basé sur le chrome) Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Vulnerability
	2023-11-03 01:15:07	CVE-2023-36029 (lien direct)	Vulnérabilité de l'usurpation de Microsoft Edge (à base de chrome) Microsoft Edge (Chromium-based) Spoofing Vulnerability	Vulnerability
	2023-11-03 01:15:07	CVE-2017-7252 (lien direct)	Bcrypt des mots de passe hachage en botan avant 2.1.0 ne gère pas correctement les mots de passe avec une longueur entre 57 et 72 caractères, ce qui permet aux attaquants de déterminer plus facilement le mot de passe ClearText. bcrypt password hashing in Botan before 2.1.0 does not correctly handle passwords with a length between 57 and 72 characters, which makes it easier for attackers to determine the cleartext password.
	2023-11-03 00:15:12	CVE-2023-42029 (lien direct)	IBM CICS TX Standard 11.1, Advanced 10.1, 11.1 et Txseries pour les multiplateformes 8.1, 8.2, 9.1 sont vulnérables aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 266059. IBM CICS TX Standard 11.1, Advanced 10.1, 11.1, and TXSeries for Multiplatforms 8.1, 8.2, 9.1 are vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 266059.	Vulnerability
	2023-11-03 00:15:12	CVE-2023-42027 (lien direct)	IBM CICS TX Standard 11.1, Advanced 10.1, 11.1, et TxSeries pour les multiplateformes 8.1, 8.2, 9.1 sont vulnérables à la contrefaçon de demande croisée, ce qui pourrait permettre à un attaquant d'exécuter des actions malveillantes et non autorisées transmises à partir d'un utilisateur qui fait confiance au site Web.IBM X-FORCE ID: 266057. IBM CICS TX Standard 11.1, Advanced 10.1, 11.1, and TXSeries for Multiplatforms 8.1, 8.2, 9.1 are vulnerable to cross-site request forgery which could allow an attacker to execute malicious and unauthorized actions transmitted from a user that the website trusts. IBM X-Force ID: 266057.
	2023-11-03 00:15:12	CVE-2023-43018 (lien direct)	IBM CICS TX Standard 11.1 et Advanced 10.1, 11.1 effectue une opération à un niveau de privilège supérieur au niveau minimum requis, ce qui crée de nouvelles faiblesses ou amplifie les conséquences d'autres faiblesses.IBM X-FORCE ID: 266163. IBM CICS TX Standard 11.1 and Advanced 10.1, 11.1 performs an operation at a privilege level that is higher than the minimum level required, which creates new weaknesses or amplifies the consequences of other weaknesses. IBM X-Force ID: 266163.
	2023-11-02 22:15:09	CVE-2023-39057 (lien direct)	Une fuite d'informations dans Hirochankakiwaiting v13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages conçus. An information leak in hirochanKAKIwaiting v13.6.1 allows attackers to obtain the channel access token and send crafted messages.
	2023-11-02 22:15:09	CVE-2023-42299 (lien direct)	La vulnérabilité de débordement de tampon dans OpenImageio OIIO V.2.4.12.0 permet à un attaquant distant d'exécuter du code arbitraire et de provoquer un déni de service via la fonction read_subimage_data. Buffer Overflow vulnerability in OpenImageIO oiio v.2.4.12.0 allows a remote attacker to execute arbitrary code and cause a denial of service via the read_subimage_data function.	Vulnerability
	2023-11-02 22:15:09	CVE-2023-43194 (lien direct)	La soumission avant V22.06.00 est vulnérable au contrôle d'accès incorrect.Un attaquant peut supprimer n'importe quel message dans le forum en modifiant le paramètre de demande. Submitty before v22.06.00 is vulnerable to Incorrect Access Control. An attacker can delete any post in the forum by modifying request parameter.
	2023-11-02 22:15:09	CVE-2023-46958 (lien direct)	Un problème dans LMXCMS V.1.41 permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué au fichier admin.php. An issue in lmxcms v.1.41 allows a remote attacker to execute arbitrary code via a crafted script to the admin.php file.
	2023-11-02 22:15:09	CVE-2023-39283 (lien direct)	Une vulnérabilité de corruption de la mémoire SMM dans le pilote SMM (SMRAM WRITE) dans CSMINT10HOOKSMM dans Insyde Insydeh2o avec le noyau 5.0 à 5.5 permet aux attaquants d'envoyer des données arbitraires à SMM, ce qui pourrait entraîner une escalade des privilèges. An SMM memory corruption vulnerability in the SMM driver (SMRAM write) in CsmInt10HookSmm in Insyde InsydeH2O with kernel 5.0 through 5.5 allows attackers to send arbitrary data to SMM which could lead to privilege escalation.	Vulnerability
	2023-11-02 22:15:09	CVE-2023-46352 (lien direct)	Dans le module "Pixel Plus: Events + CAPI + Pixel Catalog pour le module Facebook" (FacebookConversireTrackingPlus) jusqu'à la version 2.4.9 à partir de modules intelligents pour Prestashop, un invité peut télécharger des informations personnelles sans restriction.En raison d'un manque de contrôle des autorisations, un invité peut accéder aux exportations à partir du module qui peut conduire à une fuite d'informations personnelles de la table PS_Customer telle que le nom / nom de famille / e-mail. In the module "Pixel Plus: Events + CAPI + Pixel Catalog for Facebook Module" (facebookconversiontrackingplus) up to version 2.4.9 from Smart Modules for PrestaShop, a guest can download personal information without restriction. Due to a lack of permissions control, a guest can access exports from the module which can lead to a leak of personal information from ps_customer table such as name / surname / email.
	2023-11-02 22:15:08	CVE-2023-39054 (lien direct)	Une fuite d'informations dans tokudaya.ekimaae_mc v13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages conçus. An information leak in Tokudaya.ekimae_mc v13.6.1 allows attackers to obtain the channel access token and send crafted messages.
	2023-11-02 22:15:08	CVE-2023-39051 (lien direct)	Une fuite d'informations dans Vision Meat Works Track Diner 10 / 10MBL V13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages fabriqués. An information leak in VISION MEAT WORKS Track Diner 10/10mbl v13.6.1 allows attackers to obtain the channel access token and send crafted messages.
	2023-11-02 22:15:08	CVE-2023-39053 (lien direct)	Une fuite d'informations dans Hattoriya v13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages conçus. An information leak in Hattoriya v13.6.1 allows attackers to obtain the channel access token and send crafted messages.
	2023-11-02 22:15:08	CVE-2023-31579 (lien direct)	Dromara lampe-cloud avant la v3.8.1 a été découverte pour utiliser une clé cryptographique codée en dur lors de la création et de la vérification d'un jeton Web JSON.Cette vulnérabilité permet aux attaquants de s'authentifier avec l'application via un jeton JWT fabriqué. Dromara Lamp-Cloud before v3.8.1 was discovered to use a hardcoded cryptographic key when creating and verifying a Json Web Token. This vulnerability allows attackers to authenticate to the application via a crafted JWT token.	Vulnerability
	2023-11-02 22:15:08	CVE-2023-39042 (lien direct)	Une fuite d'informations dans Gyouza-Newhushimi V13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages fabriqués. An information leak in Gyouza-newhushimi v13.6.1 allows attackers to obtain the channel access token and send crafted messages.
	2023-11-02 22:15:08	CVE-2023-39047 (lien direct)	Une fuite d'informations dans Shouzu Sweets Oz V13.6.1 permet aux attaquants d'obtenir le jeton d'accès au canal et d'envoyer des messages conçus. An information leak in shouzu sweets oz v13.6.1 allows attackers to obtain the channel access token and send crafted messages.

Last update at: 2024-05-05 16:08:01
See our sources.

To see everything: Our RSS (filtrered)