What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-11-02 14:15:12 | CVE-2023-45332 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'supprimé \' de la ressource Routers / Add-Users.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'deleted\' parameter of the routers/add-users.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:12 | CVE-2023-45335 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'id \' des routeurs / edit-orders.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'id\' parameter of the routers/edit-orders.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-45325 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'Adresse \' des routeurs / ad-users.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'address\' parameter of the routers/add-users.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-42802 (lien direct) | GLPI est un progiciel gratuit et logiciel de gestion informatique.À partir de la version 10.0.7 et avant la version 10.0.10, une instanciation d'objet non vérifiée permet de télécharger des fichiers PHP malveillants dans des répertoires indésirables.Selon la configuration du serveur Web et les bibliothèques système disponibles, les fichiers PHP malveillants peuvent ensuite être exécutés via une demande de serveur Web.La version 10.0.10 résout ce problème.En tant que solution de contournement, supprimez l'accès en écriture sur les fichiers `/ ajax` et« / front »au serveur Web.
GLPI is a free asset and IT management software package. Starting in version 10.0.7 and prior to version 10.0.10, an unverified object instantiation allows one to upload malicious PHP files to unwanted directories. Depending on web server configuration and available system libraries, malicious PHP files can then be executed through a web server request. Version 10.0.10 fixes this issue. As a workaround, remove write access on `/ajax` and `/front` files to the web server. |
|||
|
2023-11-02 14:15:11 | CVE-2023-45323 (lien direct) | Le système de commande des aliments en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées. & Acirc; & nbsp; le paramètre \\ 'name \' des routeurs / add-item.php ne valide pas les caractères reçus et ils sont envoyés non filtrésà la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'name\' parameter of the routers/add-item.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-29044 (lien direct) | Les opérations de documents peuvent être manipulées pour contenir des types de données non valides, éventuellement du code de script.Le code de script pourrait être injecté à une opération qui serait exécutée pour les utilisateurs qui collaborent activement sur le même document.Les données de fonctionnement échangées entre les parties collaboratrices sont désormais échappées pour éviter l'exécution du code.Aucun exploit accessible au public n'est connu.
Documents operations could be manipulated to contain invalid data types, possibly script code. Script code could be injected to an operation that would be executed for users that are actively collaborating on the same document. Operation data exchanged between collaborating parties does now get escaped to avoid code execution. No publicly available exploits are known. |
|||
|
2023-11-02 14:15:11 | CVE-2023-29046 (lien direct) | Les connexions à des sources de données externes, comme l'autoconfiguration par e-mail, n'étaient pas terminées au cas où elles atteindront un délai d'expiration, mais ces connexions ont été enregistrées.Certaines connexions utilisent des points de terminaison contrôlés par l'utilisateur, qui pourraient être malveillants et tenter de garder la connexion ouverte pendant une période prolongée.En conséquence, les utilisateurs ont pu déclencher une grande quantité de connexions de réseau de sortie, éventuellement épuisant les ressources de pool de réseaux et verrouiller les demandes légitimes.Un nouveau mécanisme a été introduit pour annuler les connexions externes qui pourraient accéder aux points de terminaison contrôlés par l'utilisateur.Aucun exploit accessible au public n'est connu.
Connections to external data sources, like e-mail autoconfiguration, were not terminated in case they hit a timeout, instead those connections were logged. Some connections use user-controlled endpoints, which could be malicious and attempt to keep the connection open for an extended period of time. As a result users were able to trigger large amount of egress network connections, possibly exhausting network pool resources and lock up legitimate requests. A new mechanism has been introduced to cancel external connections that might access user-controlled endpoints. No publicly available exploits are known. |
|||
|
2023-11-02 14:15:11 | CVE-2023-29047 (lien direct) | Les points de terminaison de l'API ImageConverter ont fourni des méthodes qui n'étaient pas suffisamment validées et désinfectées l'entrée du client, permettant d'injecter des instructions SQL arbitraires.Un attaquant ayant accès au réseau adjacent et potentiellement des informations d'identification API pourrait lire et modifier le contenu de la base de données accessible au compte utilisateur SQL ImageConverter.Aucun aucun exploite accessible au public n'est connu.
Imageconverter API endpoints provided methods that were not sufficiently validating and sanitizing client input, allowing to inject arbitrary SQL statements. An attacker with access to the adjacent network and potentially API credentials, could read and modify database content which is accessible to the imageconverter SQL user account. None No publicly available exploits are known. |
|||
|
2023-11-02 14:15:11 | CVE-2023-45327 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'name \' de la ressource routeurs / add-users.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'name\' parameter of the routers/add-users.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-45324 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'Price \' des routeurs / andem.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'price\' parameter of the routers/add-item.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-45326 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'e-mail \' des routeurs / ad-users.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'email\' parameter of the routers/add-users.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-45328 (lien direct) | Le système de commande des aliments en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'mot de passe \' de la ressource Routers / Add-Users.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Food Ordering System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'password\' parameter of the routers/add-users.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 14:15:11 | CVE-2023-29043 (lien direct) | Les présentations peuvent contenir des références à des images, qui sont contrôlées par l'utilisateur, et peuvent inclure le code de script malveillant qui est en cours de traitement lors de la modification d'un document.Le code de script intégré dans des documents malveillants pourrait être exécuté dans le contexte de l'utilisateur éditant le document lors de l'exécution de certaines actions, comme la copie du contenu.L'attribut pertinent est désormais codé pour éviter la possibilité d'exécuter le code de script.Aucun exploit accessible au public n'est connu.
Presentations may contain references to images, which are user-controlled, and could include malicious script code that is being processed when editing a document. Script code embedded in malicious documents could be executed in the context of the user editing the document when performing certain actions, like copying content. The relevant attribute does now get encoded to avoid the possibility of executing script code. No publicly available exploits are known. |
|||
|
2023-11-02 14:15:11 | CVE-2023-29045 (lien direct) | Les opérations de documents, dans ce cas, «dessin», pourraient être manipulées pour contenir des types de données non valides, éventuellement du code de script.Le code de script pourrait être injecté à une opération qui serait exécutée pour les utilisateurs qui collaborent activement sur le même document.Les données de fonctionnement échangées entre les parties collaboratrices sont désormais vérifiées par la validité pour éviter l'exécution du code.Aucun exploit accessible au public n'est connu.
Documents operations, in this case "drawing", could be manipulated to contain invalid data types, possibly script code. Script code could be injected to an operation that would be executed for users that are actively collaborating on the same document. Operation data exchanged between collaborating parties does now gets checked for validity to avoid code execution. No publicly available exploits are known. |
|||
|
2023-11-02 14:15:10 | CVE-2023-26452 (lien direct) | Les demandes de mise en cache d'une image et de renvoyer ses métadonnées pourraient être maltraitées pour inclure des requêtes SQL qui seraient exécutées sans contrôle.L'exploitation de cette vulnérabilité nécessite au moins l'accès aux réseaux adjacents du service ImageConverter, qui n'est pas exposé aux réseaux publics par défaut.Les instructions arbitraires SQL peuvent être exécutées dans le contexte du compte utilisateur de la base de données Services.Les demandes d'API sont désormais correctement vérifiées pour le contenu valide et les tentatives de contournement de ce chèque sont enregistrées comme erreur.Aucun exploit accessible au public n'est connu.
Requests to cache an image and return its metadata could be abused to include SQL queries that would be executed unchecked. Exploiting this vulnerability requires at least access to adjacent networks of the imageconverter service, which is not exposed to public networks by default. Arbitrary SQL statements could be executed in the context of the services database user account. API requests are now properly checked for valid content and attempts to circumvent this check are being logged as error. No publicly available exploits are known. |
Vulnerability | ||
|
2023-11-02 14:15:10 | CVE-2023-26454 (lien direct) | Les demandes de récupération des métadonnées d'image pourraient être abusées pour inclure des requêtes SQL qui seraient exécutées sans contrôle.L'exploitation de cette vulnérabilité nécessite au moins l'accès aux réseaux adjacents du service ImageConverter, qui n'est pas exposé aux réseaux publics par défaut.Les instructions arbitraires SQL peuvent être exécutées dans le contexte du compte utilisateur de la base de données Services.Les demandes d'API sont désormais correctement vérifiées pour le contenu valide et les tentatives de contournement de ce chèque sont enregistrées comme erreur.Aucun exploit accessible au public n'est connu.
Requests to fetch image metadata could be abused to include SQL queries that would be executed unchecked. Exploiting this vulnerability requires at least access to adjacent networks of the imageconverter service, which is not exposed to public networks by default. Arbitrary SQL statements could be executed in the context of the services database user account. API requests are now properly checked for valid content and attempts to circumvent this check are being logged as error. No publicly available exploits are known. |
Vulnerability | ||
|
2023-11-02 14:15:10 | CVE-2023-26453 (lien direct) | Les demandes de mise en cache d'une image peuvent être maltraitées pour inclure des requêtes SQL qui seraient exécutées sans contrôle.L'exploitation de cette vulnérabilité nécessite au moins l'accès aux réseaux adjacents du service ImageConverter, qui n'est pas exposé aux réseaux publics par défaut.Les instructions arbitraires SQL peuvent être exécutées dans le contexte du compte utilisateur de la base de données Services.Les demandes d'API sont désormais correctement vérifiées pour le contenu valide et les tentatives de contournement de ce chèque sont enregistrées comme erreur.Aucun exploit accessible au public n'est connu.
Requests to cache an image could be abused to include SQL queries that would be executed unchecked. Exploiting this vulnerability requires at least access to adjacent networks of the imageconverter service, which is not exposed to public networks by default. Arbitrary SQL statements could be executed in the context of the services database user account. API requests are now properly checked for valid content and attempts to circumvent this check are being logged as error. No publicly available exploits are known. |
Vulnerability | ||
|
2023-11-02 14:15:10 | CVE-2023-26455 (lien direct) | RMI ne nécessitait pas d'authentification lors de l'appel chronosrmiservice: setEventOrganizer.Les attaquants ayant un accès au réseau local ou adjacent pourraient abuser du service RMI pour modifier les éléments du calendrier à l'aide de RMI.L'accès RMI est limité à LocalHost par défaut.L'interface a été mise à jour pour nécessiter des demandes authentifiées.Aucun exploit accessible au public n'est connu.
RMI was not requiring authentication when calling ChronosRMIService:setEventOrganizer. Attackers with local or adjacent network access could abuse the RMI service to modify calendar items using RMI. RMI access is restricted to localhost by default. The interface has been updated to require authenticated requests. No publicly available exploits are known. |
|||
|
2023-11-02 14:15:10 | CVE-2023-26456 (lien direct) | Les utilisateurs ont pu définir un «nom de produit» arbitraire pour Ox Guard.La valeur choisie n'était pas suffisamment désinfectée avant de la traiter à l'interface utilisateur, permettant des attaques de scripts inter-sites indirectes.Les comptes qui ont été temporairement repris pourraient être configurés pour déclencher une exécution persistante de code, permettant à un attaquant de se rendre à pied.La désinfection est maintenant en place pour les noms de produits.Aucun exploit accessible au public n'est connu.
Users were able to set an arbitrary "product name" for OX Guard. The chosen value was not sufficiently sanitized before processing it at the user interface, allowing for indirect cross-site scripting attacks. Accounts that were temporarily taken over could be configured to trigger persistent code execution, allowing an attacker to build a foothold. Sanitization is in place for product names now. No publicly available exploits are known. |
|||
|
2023-11-02 13:15:08 | CVE-2023-46475 (lien direct) | Une vulnérabilité de script inter-sites stockée a été découverte dans Zentao 18.3 où un utilisateur peut créer un projet, et dans le champ de nom du projet, il peut injecter un code JavaScript malveillant.
A Stored Cross-Site Scripting vulnerability was discovered in ZenTao 18.3 where a user can create a project, and in the name field of the project, they can inject malicious JavaScript code. |
Vulnerability | ||
|
2023-11-02 12:15:09 | CVE-2023-3164 (lien direct) | Une faille de lecture hors limites de tas a été trouvée dans Breedtin.c dans le package GAWK.Ce problème peut entraîner un crash et pourrait être utilisé pour lire des informations sensibles.
A heap out-of-bounds read flaw was found in builtin.c in the gawk package. This issue may lead to a crash and could be used to read sensitive information. |
|||
|
2023-11-02 12:15:09 | CVE-2023-5860 (lien direct) | Le plugin de chargeur de police icônes pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation du type de fichier manquant dans la fonction de téléchargement dans toutes les versions jusqu'à et y compris, 1.1.2.Cela permet aux attaquants authentifiés, avec l'accès au niveau de l'administrateur et au-dessus, de télécharger des fichiers arbitraires sur le serveur du site affecté \\ qui peut rendre l'exécution de code distante possible.
The Icons Font Loader plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the upload function in all versions up to, and including, 1.1.2. This makes it possible for authenticated attackers, with administrator-level access and above, to upload arbitrary files on the affected site\'s server which may make remote code execution possible. |
|||
|
2023-11-02 12:15:09 | CVE-2023-5918 (lien direct) | Une vulnérabilité, qui a été classée comme critique, a été trouvée dans le système de gestion des visiteurs sources de Sourcecodeter 1.0.Affecté est une fonction inconnue du fichier manage_user.php.La manipulation de l'ID d'argument conduit à l'injection de SQL.Il est possible de lancer l'attaque à distance.L'identifiant de cette vulnérabilité est VDB-244308.
A vulnerability, which was classified as critical, was found in SourceCodester Visitor Management System 1.0. Affected is an unknown function of the file manage_user.php. The manipulation of the argument id leads to sql injection. It is possible to launch the attack remotely. The identifier of this vulnerability is VDB-244308. |
Vulnerability | ||
|
2023-11-02 12:15:09 | CVE-2023-43193 (lien direct) | La soumission avant V22.06.00 est vulnérable aux scripts du site croisé (XSS).Un attaquant peut créer un lien malveillant dans le forum qui mène à XSS.
Submitty before v22.06.00 is vulnerable to Cross Site Scripting (XSS). An attacker can create a malicious link in the forum that leads to XSS. |
|||
|
2023-11-02 12:15:09 | CVE-2023-43336 (lien direct) | Sangoma Technologies Freepbx avant CDR 15.0.18, 16.0.40, 15.0.16 et 16.0.17 a été découverte pour contenir un problème de contrôle d'accès via une valeur de paramètre modifiée, par exemple, changeant d'extension = self à extension = 101.
Sangoma Technologies FreePBX before cdr 15.0.18, 16.0.40, 15.0.16, and 16.0.17 was discovered to contain an access control issue via a modified parameter value, e.g., changing extension=self to extension=101. |
|||
|
2023-11-02 11:15:14 | CVE-2023-43076 (lien direct) | Dell Powerscale Onefs 8.2.x, 9.0.0.x-9.5.0.x contient une vulnérabilité de déni de service.Un attaquant distant à faible privilège pourrait potentiellement exploiter cette vulnérabilité pour provoquer une condition hors mémoire (OOM).
Dell PowerScale OneFS 8.2.x,9.0.0.x-9.5.0.x contains a denial-of-service vulnerability. A low privilege remote attacker could potentially exploit this vulnerability to cause an out of memory (OOM) condition. |
Vulnerability Threat | ||
|
2023-11-02 11:15:14 | CVE-2023-5916 (lien direct) | Une vulnérabilité classée comme critique a été trouvée dans Lissy93 Dashy 2.1.1.Cela affecte une partie inconnue du fichier / config-manager / Enregistrer du gestionnaire de configuration des composants.La manipulation de la configuration de l'argument conduit à des contrôles d'accès inappropriés.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-244305 a été attribué à cette vulnérabilité.
A vulnerability classified as critical has been found in Lissy93 Dashy 2.1.1. This affects an unknown part of the file /config-manager/save of the component Configuration Handler. The manipulation of the argument config leads to improper access controls. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-244305 was assigned to this vulnerability. |
Vulnerability Threat | ||
|
2023-11-02 11:15:14 | CVE-2023-5917 (lien direct) | Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans PHPBB jusqu'à 3.3.10.Ce problème affecte la fonction principale du fichier phpbb / inclut / acp / acp_icons.php du gestionnaire de pack Smiley Composant.La manipulation de l'argument PAK conduit à des scripts croisés.L'attaque peut être initiée à distance.La mise à niveau vers la version 3.3.11 est en mesure de résoudre ce problème.Le patch est nommé CCF6E6C255D38692D72FCB613B113E6EAA240AAC.Il est recommandé de mettre à niveau le composant affecté.L'identifiant associé de cette vulnérabilité est VDB-244307.
A vulnerability, which was classified as problematic, has been found in phpBB up to 3.3.10. This issue affects the function main of the file phpBB/includes/acp/acp_icons.php of the component Smiley Pack Handler. The manipulation of the argument pak leads to cross site scripting. The attack may be initiated remotely. Upgrading to version 3.3.11 is able to address this issue. The patch is named ccf6e6c255d38692d72fcb613b113e6eaa240aac. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-244307. |
Vulnerability | ||
|
2023-11-02 11:15:14 | CVE-2023-43087 (lien direct) | Dell PowerScale Onefs 8.2.x, 9.0.0.x-9.5.0.x contient une manipulation inappropriée d'autorisations insuffisantes.Un attaquant à distance privilégié faible pourrait potentiellement exploiter cette vulnérabilité pour provoquer une divulgation d'informations.
Dell PowerScale OneFS 8.2.x, 9.0.0.x-9.5.0.x contains an improper handling of insufficient permissions. A low privileged remote attacker could potentially exploit this vulnerability to cause information disclosure. |
Vulnerability Threat | ||
|
2023-11-02 09:15:08 | CVE-2023-5920 (lien direct) | Le bureau Matter Most pour MacOS ne parvient pas à utiliser les fonctionnalités d'entrée du clavier sécurisées fournies par MacOS, permettant à d'autres processus de lire l'entrée du clavier.
Mattermost Desktop for MacOS fails to utilize the secure keyboard input functionality provided by macOS, allowing for other processes to read the keyboard input. |
|||
|
2023-11-02 09:15:08 | CVE-2023-5876 (lien direct) | La matière la plupart ne parvient pas à valider correctement un regexp construit sur le chemin de l'URL du serveur, permettant à un attaquant de contrôler un serveur inscrit pour monter un déni de service.
Mattermost fails to properly validate a RegExp built off the server URL path, allowing an attacker in control of an enrolled server to mount a Denial Of Service. |
|||
|
2023-11-02 09:15:08 | CVE-2023-5875 (lien direct) | Le bureau Matter Most ne parvient pas à correctement & acirc; & nbsp; gérer les autorisations ou inviter l'utilisateur à consentement sur certaines sensibles permettant l'exploitation des médias à partir d'un serveur de matière malveillante
Mattermost Desktop fails to correctly handle permissions or prompt the user for consent on certain sensitive ones allowing media exploitation from a malicious mattermost server |
|||
|
2023-11-02 09:15:08 | CVE-2023-5606 (lien direct) | Le chatbot pour WordPress est vulnérable aux scripts inter-sites stockés via le constructeur de la FAQ dans les versions 4.8.6 à 4.9.6 en raison de l'échappement insuffisant des entrées et de l'échappement de sortie.Cela permet aux attaquants authentifiés, avec les autorisations de niveau administrateur et au-dessus, d'injecter des scripts Web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.Cela n'affecte que les installations et les installations multi-sites où non filtré_html a été désactivé.Remarque: Cette vulnérabilité est une réintroduction de CVE-2023-4253.
The ChatBot for WordPress is vulnerable to Stored Cross-Site Scripting via the FAQ Builder in versions 4.8.6 through 4.9.6 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with administrator-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. This only affects multi-site installations and installations where unfiltered_html has been disabled. NOTE: This vulnerability is a re-introduction of CVE-2023-4253. |
Vulnerability | ||
|
2023-11-02 08:15:08 | CVE-2023-46595 (lien direct) | La fuite de net-ntlm dans Fireflow A32.20 et A32.50 permet à un attaquant & acirc; & nbsp; d'obtenir des informations d'identification de domaine victime et aciro; & euro;
Net-NTLM leak in Fireflow A32.20 and A32.50 allows an attacker to obtain victim’s domain credentials and Net-NTLM hash which can lead to relay domain attacks. |
|||
|
2023-11-02 06:15:08 | CVE-2023-46695 (lien direct) | Un problème a été découvert dans Django 3.2 avant 3.2.23, 4.1 avant 4.1.13 et 4.2 avant 4.2.7.La normalisation NFKC est lente sur les fenêtres.En conséquence, Django.Contrib.Auth.Forms.Usernamefield est soumis à une attaque potentielle DOS (Denial of Service) via certaines entrées avec un très grand nombre de caractères Unicode.
An issue was discovered in Django 3.2 before 3.2.23, 4.1 before 4.1.13, and 4.2 before 4.2.7. The NFKC normalization is slow on Windows. As a consequence, django.contrib.auth.forms.UsernameField is subject to a potential DoS (denial of service) attack via certain inputs with a very large number of Unicode characters. |
|||
|
2023-11-02 06:15:08 | CVE-2023-47204 (lien direct) | La désérialisation YAML dangereuse dans YAML.loader dans Transmute-Core avant 1.13.5 permet aux attaquants d'exécuter un code Python arbitraire.
Unsafe YAML deserialization in yaml.Loader in transmute-core before 1.13.5 allows attackers to execute arbitrary Python code. |
|||
|
2023-11-02 03:15:10 | CVE-2023-5408 (lien direct) | Une faille d'escalade de privilège a été trouvée dans le plugin d'admission de restriction du nœud du serveur API Kubernetes d'OpenShift.Un attaquant distant qui modifie l'étiquette des rôles de nœud pourrait diriger les charges de travail du plan de contrôle et etcd nœuds sur différents nœuds de travailleur et obtenir un accès plus large au cluster.
A privilege escalation flaw was found in the node restriction admission plugin of the kubernetes api server of OpenShift. A remote attacker who modifies the node role label could steer workloads from the control plane and etcd nodes onto different worker nodes and gain broader access to the cluster. |
Uber | ||
|
2023-11-02 03:15:10 | CVE-2023-45018 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'username \' de la ressource incluse / login.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'username\' parameter of the includes/login.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:10 | CVE-2023-46327 (lien direct) | Plusieurs MFP (imprimantes multifonctionnelles) fournis par Fujifilm Business Innovation Corp. et Xerox Corporation fournissent une installation pour exporter le contenu de leur carnet d'adresses avec une forme cryptée, mais la force de cryptage est insuffisante.Avec la connaissance du processus de chiffrement et de la clé de chiffrement, les informations telles que les informations d'identification du serveur peuvent être obtenues à partir des données exportées du carnet d'adresses.En ce qui concerne les détails des noms de produits affectés, des numéros de modèle et des versions, se référer aux informations fournies par les fournisseurs respectifs répertoriés sous [Références].
Multiple MFPs (multifunction printers) provided by FUJIFILM Business Innovation Corp. and Xerox Corporation provide a facility to export the contents of their Address Book with encrypted form, but the encryption strength is insufficient. With the knowledge of the encryption process and the encryption key, the information such as the server credentials may be obtained from the exported Address Book data. As for the details of affected product names, model numbers, and versions, refer to the information provided by the respective vendors listed under [References]. |
|||
|
2023-11-02 03:15:10 | CVE-2023-45019 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'catégorie \' de la ressource catégorie.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'category\' parameter of the category.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45017 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'destination \' de la ressource Search.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'destination\' parameter of the search.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45015 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'date \' de la ressource bus_info.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'date\' parameter of the bus_info.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45013 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'user_query \' de la ressource bus_info.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'user_query\' parameter of the bus_info.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45012 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées. & Acirc; & nbsp; le paramètre \\ 'user_email \' de la ressource bus_info.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'user_email\' parameter of the bus_info.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45014 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'bus_id \' de la ressource bus_info.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'bus_id\' parameter of the bus_info.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 03:15:09 | CVE-2023-45016 (lien direct) | Le système de réservation de bus en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'source \' de la ressource Search.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Bus Booking System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'source\' parameter of the search.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 02:15:08 | CVE-2023-45111 (lien direct) | Le système d'examen en ligne v1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées. & Acirc; & nbsp; Le paramètre \\ 'e-mail \' de la ressource feed.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Examination System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'email\' parameter of the feed.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 02:15:08 | CVE-2023-45113 (lien direct) | Le système d'examen en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'name \' de la ressource feed.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Examination System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'name\' parameter of the feed.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 02:15:08 | CVE-2023-45114 (lien direct) | Le système d'examen en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'sujet \' de la ressource feed.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Examination System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'subject\' parameter of the feed.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability | ||
|
2023-11-02 02:15:08 | CVE-2023-45112 (lien direct) | Le système d'examen en ligne V1.0 est vulnérable à plusieurs vulnérabilités d'injection SQL non authentifiées.Le paramètre \\ 'feedback \' de la ressource feed.php ne valide pas les caractères reçus et ils sont envoyés non filtrés à la base de données.
Online Examination System v1.0 is vulnerable to multiple Unauthenticated SQL Injection vulnerabilities. The \'feedback\' parameter of the feed.php resource does not validate the characters received and they are sent unfiltered to the database. |
Vulnerability |
To see everything:
Our RSS (filtrered)
