What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-11-03 23:15:08 | CVE-2023-45189 (lien direct) | Une vulnérabilité dans IBM Robotic Process Automation et IBM Robotic Process Automation for Cloud PAK 21.0.0 à 21.0.7.10, 23.0.0 à 23.0.10 peut entraîner l'accès aux informations d'identification du client Vault.Cette vulnérabilité difficile à exploiter pourrait permettre à un attaquant privilégié faible d'accéder à des informations d'identification Client Vault Client.IBM X-FORCE ID: 268752.
A vulnerability in IBM Robotic Process Automation and IBM Robotic Process Automation for Cloud Pak 21.0.0 through 21.0.7.10, 23.0.0 through 23.0.10 may result in access to client vault credentials. This difficult to exploit vulnerability could allow a low privileged attacker to programmatically access client vault credentials. IBM X-Force ID: 268752. |
Vulnerability Threat Cloud | ||
|
2023-10-31 15:15:09 | CVE-2023-42425 (lien direct) | Un problème dans Turing Video Turing Edge + EVC5FD V.1.38.6 permet à l'attaquant distant d'exécuter du code arbitraire et d'obtenir des informations sensibles via les composants de connexion cloud.
An issue in Turing Video Turing Edge+ EVC5FD v.1.38.6 allows remote attacker to execute arbitrary code and obtain sensitive information via the cloud connection components. |
Cloud | ||
|
2023-10-31 15:15:08 | CVE-2023-22518 (lien direct) | Toutes les versions de Confluence Data Center and Server sont affectées par cette vulnérabilité non exploitée.Il n'y a aucun impact sur la confidentialité car un attaquant ne peut exfiltrer aucune donnée d'instance.
Les sites de nuages Atlassian ne sont pas affectés par cette vulnérabilité.Si votre site Confluence est accessible via un domaine atlassian.net, il est hébergé par Atlassian et n'est pas vulnérable à ce problème.
All versions of Confluence Data Center and Server are affected by this unexploited vulnerability. There is no impact to confidentiality as an attacker cannot exfiltrate any instance data. Atlassian Cloud sites are not affected by this vulnerability. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not vulnerable to this issue. |
Cloud | ||
|
2023-10-30 23:15:08 | CVE-2023-44397 (lien direct) | CloudExplorer Lite est une plate-forme de gestion des nuages open source et légère.Avant la version 1.4.1, le filtre de passerelle de CloudExplorer Lite utilise un contrôleur avec un chemin à parcourir par `correspondant / api /`, ce qui peut entraîner une contournement d'autorisation.La version 1.4.1 contient un correctif pour ce problème.
CloudExplorer Lite is an open source, lightweight cloud management platform. Prior to version 1.4.1, the gateway filter of CloudExplorer Lite uses a controller with path starting with `matching/API/`, which can cause a permission bypass. Version 1.4.1 contains a patch for this issue. |
Cloud | ||
|
2023-10-30 05:15:09 | CVE-2023-45746 (lien direct) | La vulnérabilité de script inter-sites dans les séries de types mobiles permet à un attaquant authentifié distant d'injecter un script arbitraire.Les produits / versions affectés sont les suivants: Type mobile 7 R.5405 et plus tôt (séries mobiles de type 7), type mobile Avancé 7 R.5405 et plus tôt (séries de type 7 mobiles), Type mobile Premium 1,58 et antérieure, Type mobile Advanced Advanced Advanced Advanced Advanced Advanced1,58 et plus tôt, Movable Type Cloud Edition (Version 7) R.5405 et plus tôt, et Movable Type Premium Cloud Edition 1.58 et plus tôt.
Cross-site scripting vulnerability in Movable Type series allows a remote authenticated attacker to inject an arbitrary script. Affected products/versions are as follows: Movable Type 7 r.5405 and earlier (Movable Type 7 Series), Movable Type Advanced 7 r.5405 and earlier (Movable Type 7 Series), Movable Type Premium 1.58 and earlier, Movable Type Premium Advanced 1.58 and earlier, Movable Type Cloud Edition (Version 7) r.5405 and earlier, and Movable Type Premium Cloud Edition 1.58 and earlier. |
Vulnerability Cloud | ||
|
2023-10-22 02:15:07 | CVE-2023-38735 (lien direct) | Les tableaux de bord IBM Cognos sur Cloud Pak pour les données 4.7.0 pourraient permettre à un attaquant distant de contourner les restrictions de sécurité, causées par une faille de tabnabbing inverse.Un attaquant pourrait exploiter cette vulnérabilité et rediriger une victime vers un site de phishing.IBM X-FORCE ID: 262482.
IBM Cognos Dashboards on Cloud Pak for Data 4.7.0 could allow a remote attacker to bypass security restrictions, caused by a reverse tabnabbing flaw. An attacker could exploit this vulnerability and redirect a victim to a phishing site. IBM X-Force ID: 262482. |
Vulnerability Threat Cloud | ||
|
2023-10-22 02:15:07 | CVE-2023-38276 (lien direct) | Les tableaux de bord IBM Cognos sur le Cloud Pak pour les données 4.7.0 expose les informations sensibles dans les variables d'environnement qui pourraient aider à d'autres attaques contre le système.IBM X-FORCE ID: 260736.
IBM Cognos Dashboards on Cloud Pak for Data 4.7.0 exposes sensitive information in environment variables which could aid in further attacks against the system. IBM X-Force ID: 260736. |
Cloud | ||
|
2023-10-22 01:15:08 | CVE-2023-38275 (lien direct) | Les tableaux de bord IBM Cognos sur Cloud Pak pour les données 4.7.0 expose des informations sensibles dans les images de conteneurs qui pourraient conduire à de nouvelles attaques contre le système.IBM X-FORCE ID: 260730.
IBM Cognos Dashboards on Cloud Pak for Data 4.7.0 exposes sensitive information in container images which could lead to further attacks against the system. IBM X-Force ID: 260730. |
Cloud | ||
|
2023-10-17 15:15:10 | CVE-2023-37537 (lien direct) | Une vulnérabilité de chemin de service non adhéré en présence de HCL AppScan, déployée en tant que service Windows dans HCL AppScan sur Cloud (ASOC), peut permettre à un attaquant local d'obtenir des privilèges élevés.
An unquoted service path vulnerability in HCL AppScan Presence, deployed as a Windows service in HCL AppScan on Cloud (ASoC), may allow a local attacker to gain elevated privileges. |
Vulnerability Cloud | ||
|
2023-10-16 19:15:10 | CVE-2023-45151 (lien direct) | NextCloud Server est une plate-forme de cloud domestique open source.Les versions affectées des jetons OAuth2 stockés NextCloud en texte clair qui permet à un attaquant qui a eu accès au serveur pour potentiellement élever son privilège.Ce problème a été résolu et les utilisateurs sont recommandés pour mettre à niveau leur serveur NextCloud vers la version 25.0.8, 26.0.3 ou 27.0.1.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Nextcloud server is an open source home cloud platform. Affected versions of Nextcloud stored OAuth2 tokens in plaintext which allows an attacker who has gained access to the server to potentially elevate their privilege. This issue has been addressed and users are recommended to upgrade their Nextcloud Server to version 25.0.8, 26.0.3 or 27.0.1. There are no known workarounds for this vulnerability. |
Cloud | ||
|
2023-10-16 19:15:10 | CVE-2023-45148 (lien direct) | NextCloud est un serveur de cloud domestique open source.Lorsque Memcached est utilisé comme «Memcache.Distributed», la limitation de taux dans le serveur NextCloud pourrait être réinitialisé de manière inattendue le nombre de taux plus tôt que prévu.Il est conseillé aux utilisateurs de passer aux versions 25.0.11, 26.0.6 ou 27.1.0.Les utilisateurs incapables de mettre à niveau doivent modifier leur paramètre de configuration `memcache.distributed` en` \ oc \ memcache \ redis` et installer redis au lieu de memcached.
Nextcloud is an open source home cloud server. When Memcached is used as `memcache.distributed` the rate limiting in Nextcloud Server could be reset unexpectedly resetting the rate count earlier than intended. Users are advised to upgrade to versions 25.0.11, 26.0.6 or 27.1.0. Users unable to upgrade should change their config setting `memcache.distributed` to `\OC\Memcache\Redis` and install Redis instead of Memcached. |
Cloud | ||
|
2023-10-14 16:15:10 | CVE-2023-35024 (lien direct) | IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2,21.0.3, 22.0.1 et 22.0.2 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 258349.
IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1, and 22.0.2 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 258349. |
Vulnerability Cloud | ||
|
2023-10-13 13:15:11 | CVE-2023-39960 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.Dans NextCloud Server commençant par 25.0.0 et avant 25.09 et 26.04;ainsi que NextCloud Enterprise Server à partir de 22.0.0 et avant 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9 et 26.0.4;La protection manquante permet à un attaquant de forcer brute des mots de passe sur l'API WebDAV.NextCloud Server 25.0.9 et 26.0.4 et NextCloud Enterprise Server 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9 et 26.0.4 contiennent des correctifs pour ce problème.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. In Nextcloud Server starting with 25.0.0 and prior to 25.09 and 26.04; as well as Nextcloud Enterprise Server starting with 22.0.0 and prior to 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, and 26.0.4; missing protection allows an attacker to brute force passwords on the WebDAV API. Nextcloud Server 25.0.9 and 26.0.4 and Nextcloud Enterprise Server 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, and 26.0.4 contain patches for this issue. No known workarounds are available. |
Cloud | ||
|
2023-10-13 13:15:11 | CVE-2023-45162 (lien direct) | Les versions de plate-forme affectées 1E ont une vulnérabilité d'injection SQL aveugle qui peut conduire à une exécution de code arbitraire. & Acirc; & nbsp;
L'application du hotfix pertinent résout ce problème.
Pour V8.1.2 Appliquer Hotfix Q23166
Pour V8.4.1 Appliquer Hotfix Q23164
Pour V9.0.1, appliquez Hotfix Q23173
Les implémentations SAAS sur V23.7.1 seront automatiquement appliquées par Hotfix Q23173.Les clients avec des versions SaaS ci-dessous sont invités à mettre à niveau de toute urgence - veuillez contacter 1E pour organiser ceci
Affected 1E Platform versions have a Blind SQL Injection vulnerability that can lead to arbitrary code execution. Application of the relevant hotfix remediates this issue. for v8.1.2 apply hotfix Q23166 for v8.4.1 apply hotfix Q23164 for v9.0.1 apply hotfix Q23173 SaaS implementations on v23.7.1 will automatically have hotfix Q23173 applied. Customers with SaaS versions below this are urged to upgrade urgently - please contact 1E to arrange this |
Vulnerability Cloud | ||
|
2023-10-12 23:15:11 | CVE-2023-36843 (lien direct) | Une manipulation inappropriée de la vulnérabilité des éléments spéciaux incohérents dans le module Junos Services Framework (JSF) des réseaux Juniper Networks Junos OS permet unL'attaquant basé sur le réseau non authentifié provoque un crash dans le moteur de transfert de paquets (PFE) et entraînant ainsi un déni de service (DOS).
En recevant un trafic SSL malformé, le PFE se bloque.Un redémarrage manuel sera nécessaire pour récupérer l'appareil.
Ce problème n'affecte que les appareils avec les réseaux Juniper Networks Advanced Menace Prevention (ATP) Cloud compatible avec des informations cryptées sur le trafic (configurées via & acirc; & euro; & tilde; Security-Metadata-Streaming Policy & acirc; & euro; & Trade;).
Ce problème affecte Juniper Networks Junos OS:
* Toutes les versions avant 20.4R3-S8, 20.4R3-S9;
* 21.1 version 21.1r1 et versions ultérieures;
* 21.2 Versions avant 21.2R3-S6;
* 21.3 Versions avant 21.3R3-S5;
* 21.4 versions avant 21.4R3-S5;
* 22.1 versions avant 22.1r3-s4;
* 22.2 Versions avant 22.2R3-S2;
* 22.3 versions avant 22.3r2-s2, 22.3r3;
* 22.4 Versions avant 22.4R2-S1, 22.4R3;
An Improper Handling of Inconsistent Special Elements vulnerability in the Junos Services Framework (jsf) module of Juniper Networks Junos OS allows an unauthenticated network based attacker to cause a crash in the Packet Forwarding Engine (pfe) and thereby resulting in a Denial of Service (DoS). Upon receiving malformed SSL traffic, the PFE crashes. A manual restart will be needed to recover the device. This issue only affects devices with Juniper Networks Advanced Threat Prevention (ATP) Cloud enabled with Encrypted Traffic Insights (configured via ‘security-metadata-streaming policy’). This issue affects Juniper Networks Junos OS: * All versions prior to 20.4R3-S8, 20.4R3-S9; * 21.1 version 21.1R1 and later versions; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S4; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3; * 22.4 versions prior to 22.4R2-S1, 22.4R3; |
Vulnerability Threat Cloud | ||
|
2023-10-09 09:15:10 | CVE-2023-3589 (lien direct) | Une vulnérabilité de contrefaçon de demande croisée (CSRF) affectant le cloud de travail d'équipe à partir de No Magic Release 2021X via aucune version magique 2022x permet à un attaquant d'envoyer une requête spécialement conçue au serveur.
A Cross-Site Request Forgery (CSRF) vulnerability affecting Teamwork Cloud from No Magic Release 2021x through No Magic Release 2022x allows an attacker to send a specifically crafted query to the server. |
Vulnerability Cloud | ||
|
2023-10-04 14:15:10 | CVE-2023-22515 (lien direct) | Atlassian a été informé d'un problème rapporté par une poignée de clients où les attaquants externes peuvent avoir exploité une vulnérabilité auparavant inconnue dans les instances de centre de données et de serveurs accessibles au public pour créer des comptes d'administrateur de confluence non autorisés et des instances de confluence d'accès.
Les sites de nuages Atlassian ne sont pas affectés par cette vulnérabilité.Si votre site Confluence est accessible via un domaine atlassian.net, il est hébergé par Atlassian et n'est pas vulnérable à ce problème.
Pour plus de détails, veuillez consulter le conseil lié sur ce CVE.
Atlassian has been made aware of an issue reported by a handful of customers where external attackers may have exploited a previously unknown vulnerability in publicly accessible Confluence Data Center and Server instances to create unauthorized Confluence administrator accounts and access Confluence instances. Atlassian Cloud sites are not affected by this vulnerability. If your Confluence site is accessed via an atlassian.net domain, it is hosted by Atlassian and is not vulnerable to this issue. For more details, please review the linked advisory on this CVE. |
Vulnerability Cloud | ||
|
2023-10-04 11:15:10 | CVE-2023-3701 (lien direct) | Aqua Drive, dans sa version 2.4, est vulnérable à une vulnérabilité de traversée de chemin relatif.En exploitant cette vulnérabilité, un utilisateur non privilégié authentifié pourrait accéder / modifier les ressources stockées d'autres utilisateurs.Il pourrait également être possible d'accéder et de modifier les fichiers source et de configuration de la plate-forme de disque cloud, affectant l'intégrité et la disponibilité de l'ensemble de la plate-forme.
Aqua Drive, in its 2.4 version, is vulnerable to a relative path traversal vulnerability. By exploiting this vulnerability, an authenticated non privileged user could access/modify stored resources of other users. It could also be possible to access and modify the source and configuration files of the cloud disk platform, affecting the integrity and availability of the entire platform. |
Cloud | ||
|
2023-10-03 10:15:10 | CVE-2023-37998 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin SAAS Désactiver | Vulnerability Cloud | ||
|
2023-09-29 00:15:12 | CVE-2023-5077 (lien direct) | Le moteur Google Cloud Secrets Enterprise ("Vault") de Vault and Vault n'a pas préservé les conditions existantes de Google Cloud IAM lors de la création ou de la mise à jour de ROLESET.Fixé dans le coffre-fort 1.13.0.
The Vault and Vault Enterprise ("Vault") Google Cloud secrets engine did not preserve existing Google Cloud IAM Conditions upon creating or updating rolesets. Fixed in Vault 1.13.0. |
Cloud | ||
|
2023-09-15 21:15:11 | CVE-2023-42442 (lien direct) | JumpServer est un hôte de bastion open source et un système d'audit de sécurité et de maintenance professionnelle.À partir de la version 3.0.0 et avant les versions 3.5.5 et 3.6.4, les rediffusions de session peuvent télécharger sans authentification.Les rediffusions de session stockées dans S3, OSS ou tout autre stockage cloud ne sont pas affectées.L'API `/ API / V1 / Terminal / Sessions /` Le contrôle d'autorisation est rompu et est accessible de manière anonyme.Classes d'autorisation SessionViewset définies sur `[RBACPermission |IssessionAssignee] `, la relation est ou, donc toute autorisation correspondante sera autorisée.Les versions 3.5.5 et 3.6.4 ont une solution.Après la mise à niveau, visitez l'API `$ host / api / v1 / terminal / sessions /? Limite = 1`.Le code de réponse HTTP attendu est 401 («Not_Authenticated»).
JumpServer is an open source bastion host and a professional operation and maintenance security audit system. Starting in version 3.0.0 and prior to versions 3.5.5 and 3.6.4, session replays can download without authentication. Session replays stored in S3, OSS, or other cloud storage are not affected. The api `/api/v1/terminal/sessions/` permission control is broken and can be accessed anonymously. SessionViewSet permission classes set to `[RBACPermission | IsSessionAssignee]`, relation is or, so any permission matched will be allowed. Versions 3.5.5 and 3.6.4 have a fix. After upgrading, visit the api `$HOST/api/v1/terminal/sessions/?limit=1`. The expected http response code is 401 (`not_authenticated`). |
Cloud | ||
|
2023-09-13 19:15:07 | CVE-2023-3588 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) affectant le cloud de travail d'équipe de No Magic Release 2021X via No Magic Release 2022X permet à un attaquant d'exécuter un code de script arbitraire.
A stored Cross-site Scripting (XSS) vulnerability affecting Teamwork Cloud from No Magic Release 2021x through No Magic Release 2022x allows an attacker to execute arbitrary script code. |
Vulnerability Cloud | ||
|
2023-09-13 16:15:10 | CVE-2023-4801 (lien direct) | Une vulnérabilité de validation de certification inappropriée dans l'agent de gestion des menaces d'initiés (ITM) pour MACOS pourrait être utilisée par un acteur anonyme sur un réseau adjacent pour établir une position d'homme dans le milieu entre l'agent et le serveur ITM après que l'agent s'est inscrit.Toutes les versions antérieures au 7.14.3.69 sont affectées.Les agents de Windows, Linux et Cloud ne sont pas affectés.
An improper certification validation vulnerability in the Insider Threat Management (ITM) Agent for MacOS could be used by an anonymous actor on an adjacent network to establish a man-in-the-middle position between the agent and the ITM server after the agent has registered. All versions prior to 7.14.3.69 are affected. Agents for Windows, Linux, and Cloud are unaffected. |
Vulnerability Threat Cloud | ||
|
2023-09-12 17:15:09 | CVE-2023-35355 (lien direct) | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnérabilité
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability |
Vulnerability Cloud | ||
|
2023-09-08 08:15:07 | CVE-2023-34041 (lien direct) | Cloud Foundry Routing Routing Versions versions avant 0,278.0 est vulnérable à la maltraitance des en-têtes HTTP Hop-by-Hop.Un attaquant non authentifié peut utiliser cette vulnérabilité pour les en-têtes comme B3 ou X-B3-Spanid pour affecter la valeur d'identification enregistrée dans les journaux des fondations.
Cloud foundry routing release versions prior to 0.278.0 are vulnerable to abuse of HTTP Hop-by-Hop Headers. An unauthenticated attacker can use this vulnerability for headers like B3 or X-B3-SpanID to affect the identification value recorded in the logs in foundations. |
Vulnerability Cloud | ||
|
2023-09-07 03:15:08 | CVE-2023-34357 (lien direct) | Le portail HR Soar Cloud Ltd. a un mécanisme de récupération de mot de passe faible pour le mot de passe oublié.Le lien de mot de passe de réinitialisation envoyé par e-mail, et le lien restera valide après la réinitialisation du mot de passe et après la date d'expiration attendue.Un attaquant ayant accès à l'historique du navigateur ou a la ligne peut ainsi utiliser à nouveau l'URL pour modifier le mot de passe afin de reprendre le compte.
Soar Cloud Ltd. HR Portal has a weak Password Recovery Mechanism for Forgotten Password. The reset password link sent out through e-mail, and the link will remain valid after the password has been reset and after the expected expiration date. An attacker with access to the browser history or has the line can thus use the URL again to change the password in order to take over the account. |
Cloud | ||
|
2023-09-04 23:15:47 | CVE-2023-41058 (lien direct) | Parse Server est un serveur backend open source.Dans les versions affectées, le déclencheur du nuage d'analyse «avant find» n'est pas invoqué dans certaines conditions de «parse.query».Cela peut poser une vulnérabilité pour les déploiements où le déclencheur `avant Find` est utilisé comme couche de sécurité pour modifier la requête entrante.La vulnérabilité a été corrigée en refactorisant le pipeline de requête interne pour une structure de code plus concise et en implémentant un correctif pour s'assurer que le déclencheur `befreFind` est invoqué.Ce correctif a été introduit dans la validation `BE4C7E23C6` et a été inclus dans les versions 6.2.2 et 5.5.5.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau doivent utiliser les couches de sécurité de Parse Server \\ pour gérer les niveaux d'accès avec les autorisations au niveau de la classe et le contrôle d'accès au niveau des objets qui doivent être utilisés au lieu des couches de sécurité personnalisées dans les déclencheurs de code cloud.
Parse Server is an open source backend server. In affected versions the Parse Cloud trigger `beforeFind` is not invoked in certain conditions of `Parse.Query`. This can pose a vulnerability for deployments where the `beforeFind` trigger is used as a security layer to modify the incoming query. The vulnerability has been fixed by refactoring the internal query pipeline for a more concise code structure and implementing a patch to ensure the `beforeFind` trigger is invoked. This fix was introduced in commit `be4c7e23c6` and has been included in releases 6.2.2 and 5.5.5. Users are advised to upgrade. Users unable to upgrade should make use of parse server\'s security layers to manage access levels with Class-Level Permissions and Object-Level Access Control that should be used instead of custom security layers in Cloud Code triggers. |
Vulnerability Cloud | ||
|
2023-09-01 11:15:42 | CVE-2023-3950 (Gitlab) (lien direct) | Un problème de divulgation d'informations dans Gitlab EE affectant toutes les versions de 16.2 avant 16.2.5, et 16.3 avant 16.3.1 ont permis aux autres propriétaires de groupe de voir la clé publique pour une destination de streaming d'événements d'audit Google Cloud, si elles sont configurées.Les propriétaires ne peuvent désormais écrire que la clé, pas le lire.
An information disclosure issue in GitLab EE affecting all versions from 16.2 prior to 16.2.5, and 16.3 prior to 16.3.1 allowed other Group Owners to see the Public Key for a Google Cloud Logging audit event streaming destination, if configured. Owners can now only write the key, not read it. |
Cloud | ||
|
2023-08-31 18:15:09 | CVE-2023-41746 (lien direct) | Exécution de la commande distante due à une mauvaise validation d'entrée.Les produits suivants sont affectés: Acronis Cloud Manager (Windows) avant la construction 6.2.23089.203.
Remote command execution due to improper input validation. The following products are affected: Acronis Cloud Manager (Windows) before build 6.2.23089.203. |
Cloud | ||
|
2023-08-31 18:15:09 | CVE-2023-41747 (lien direct) | Divulgation d'informations sensibles due à une mauvaise validation des entrées.Les produits suivants sont affectés: Acronis Cloud Manager (Windows) avant la construction 6.2.23089.203.
Sensitive information disclosure due to improper input validation. The following products are affected: Acronis Cloud Manager (Windows) before build 6.2.23089.203. |
Cloud | ||
|
2023-08-31 18:15:09 | CVE-2023-41748 (lien direct) | Exécution de la commande distante due à une mauvaise validation d'entrée.Les produits suivants sont affectés: Acronis Cloud Manager (Windows) avant la construction 6.2.23089.203.
Remote command execution due to improper input validation. The following products are affected: Acronis Cloud Manager (Windows) before build 6.2.23089.203. |
Cloud | ||
|
2023-08-28 01:15:09 | CVE-2023-26270 (lien direct) | IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur le système, provoqué par une faille d'injection de modèle angulaire.En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.ID IBM X-Force : 248119.
IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) could allow a remote attacker to execute arbitrary code on the system, caused by an angular template injection flaw. By sending specially crafted request, an attacker could exploit this vulnerability to execute arbitrary code on the system. IBM X-Force ID: 248119. |
Vulnerability Cloud | ||
|
2023-08-28 01:15:09 | CVE-2023-26272 (lien direct) | IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) pourrait permettre à un attaquant distant d'obtenir des informations sensibles lorsqu'un message d'erreur technique détaillé est renvoyé dans le navigateur.Ces informations pourraient être utilisées dans d’autres attaques contre le système.ID IBM X-Force : 248133.
IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) could allow a remote attacker to obtain sensitive information when a detailed technical error message is returned in the browser. This information could be used in further attacks against the system. IBM X-Force ID: 248133. |
Cloud | ||
|
2023-08-28 01:15:09 | CVE-2023-26271 (lien direct) | IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) utilise un paramètre de verrouillage de compte inadéquat qui pourrait permettre à un attaquant distant de forcer brutalement les informations d'identification du compte.ID IBM X-Force : 248126.
IBM Security Guardium Data Encryption (IBM Guardium Cloud Key Manager (GCKM) 1.10.3)) uses an inadequate account lockout setting that could allow a remote attacker to brute force account credentials. IBM X-Force ID: 248126. |
Cloud | ||
|
2023-08-25 13:15:07 | CVE-2023-41248 (lien direct) | Dans JetBrains TeamCity avant 2023.05.3, le XSS stocké était possible lors de la configuration des profils cloud
In JetBrains TeamCity before 2023.05.3 stored XSS was possible during Cloud Profiles configuration |
Cloud | ||
|
2023-08-25 09:15:08 | CVE-2023-32591 (lien direct) | Auth.(admin+) Vulnérabilité XSS (Stored Cross-Site Scripting) dans les versions | Vulnerability Cloud | ||
|
2023-08-24 23:15:08 | CVE-2023-37469 (lien direct) | CasaOS est un système cloud personnel open source.Avant la version 0.4.4, si un utilisateur authentifié utilisant CasaOS parvient à se connecter avec succès à un serveur SMB contrôlé, il peut exécuter des commandes arbitraires.La version 0.4.4 contient un correctif pour ce problème.
CasaOS is an open-source personal cloud system. Prior to version 0.4.4, if an authenticated user using CasaOS is able to successfully connect to a controlled SMB server, they are able to execute arbitrary commands. Version 0.4.4 contains a patch for the issue. |
Cloud | ||
|
2023-08-24 23:15:08 | CVE-2023-39519 (lien direct) | Cloud Explorer Lite est une plateforme de gestion cloud open source.Avant la version 1.4.0, il existe un risque de fuite d'informations sensibles lors de l'acquisition d'informations utilisateur de CloudExplorer Lite.La vulnérabilité a été corrigée dans la version 1.4.0.
Cloud Explorer Lite is an open source cloud management platform. Prior to version 1.4.0, there is a risk of sensitive information leakage in the user information acquisition of CloudExplorer Lite. The vulnerability has been fixed in version 1.4.0. |
Vulnerability Cloud | ||
|
2023-08-10 18:15:10 | CVE-2023-39962 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 19.0.0 et avant les versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, un utilisateur malveillantpourrait supprimer tout stockage externe personnel ou global, ce qui les rend également inaccessibles pour tout le monde.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce problème.En tant que solution de contournement, désactivez l'application Files_external.Cela rend également le stockage externe inaccessible mais conserve les configurations jusqu'à ce qu'une version corrigée soit déployée.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 19.0.0 and prior to versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, a malicious user could delete any personal or global external storage, making them inaccessible for everyone else as well. Nextcloud server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. As a workaround, disable app files_external. This also makes the external storage inaccessible but retains the configurations until a patched version has been deployed. |
Cloud | ||
|
2023-08-10 18:15:10 | CVE-2023-39963 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 20.0.0 et avant les versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, une confirmation de mot de passe manquante a permis un attaquant un attaquant, après avoir réussi à voler une session à un utilisateur connecté, pour créer des mots de passe d'applications pour la victime.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 Contiennent un correctif pour ce problème.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 20.0.0 and prior to versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, a missing password confirmation allowed an attacker, after successfully stealing a session from a logged in user, to create app passwords for the victim. Nextcloud server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available. |
Cloud | ||
|
2023-08-10 18:15:10 | CVE-2023-39961 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 24.0.4 et avant les versions 25.0.9, 26.0.4 et 27.0.1, lorsqu'un dossier avec des images ou une image a été partagé sans autorisation de téléchargement, l'utilisateur pourrait ajouter l'image en ligne dans un fichier texte et téléchargeril.Versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce numéro.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 24.0.4 and prior to versions 25.0.9, 26.0.4, and 27.0.1, when a folder with images or an image was shared without download permissions, the user could add the image inline into a text file and download it. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available. |
Cloud | ||
|
2023-08-10 18:15:10 | CVE-2023-39959 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 25.0.0 et avant les versions 25.0.9, 26.0.4 et 27.0.1, les utilisateurs non authentifiés pourraient envoyer une demande DAV qui révèle si un calendrier ou un carnet d'adresses avec l'identifiant donné existe pour la victime.Les versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce numéro.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 25.0.0 and prior to versions 25.0.9, 26.0.4, and 27.0.1, unauthenticated users could send a DAV request which reveals whether a calendar or an address book with the given identifier exists for the victim. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available. |
Cloud | ||
|
2023-08-10 18:15:09 | CVE-2023-39958 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 22.0.0 et avant les versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1, la protection manquante permet à un attaquant de forcer brute les secrets clients des clients configurés OAuth2.Les versions NextCloud Server 25.0.9, 26.0.4 et 27.0.1 et NextCloud Enterprise Server Versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4 et 27.0.1 contiennent un correctif pour ce problème.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 22.0.0 and prior to versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1, missing protection allows an attacker to brute force the client secrets of configured OAuth2 clients. Nextcloud Server versions 25.0.9, 26.0.4, and 27.0.1 and Nextcloud Enterprise Server versions 22.2.10.13, 23.0.12.8, 24.0.12.5, 25.0.9, 26.0.4, and 27.0.1 contain a patch for this issue. No known workarounds are available. |
Cloud | ||
|
2023-08-10 15:15:09 | CVE-2023-39954 (lien direct) | User_OIDC fournit le backend utilisateur OIDC Connect pour NextCloud, une plate-forme cloud open source.À partir de la version 1.0.0 et avant la version 1.3.3, un attaquant qui a obtenu au moins l'accès en lecture à un instantané de la base de données peut usurrer le serveur NextCloud vers des serveurs liés.User_OIDC 1.3.3 contient un patch.Aucune solution de contournement connue n'est disponible.
user_oidc provides the OIDC connect user backend for Nextcloud, an open-source cloud platform. Starting in version 1.0.0 and prior to version 1.3.3, an attacker that obtained at least read access to a snapshot of the database can impersonate the Nextcloud server towards linked servers. user_oidc 1.3.3 contains a patch. No known workarounds are available. |
Cloud | ||
|
2023-08-10 15:15:09 | CVE-2023-39955 (lien direct) | Notes est une application de prise de notes pour NextCloud, une plate-forme cloud open source.À partir de la version 4.4.0 et avant la version 4.8.0, lors de la création d'un fichier de notes avec HTML, le contenu est rendu dans l'aperçu au lieu que le fichier soit proposé à télécharger.NextCloud Remarques La version 4.8.0 contient un correctif pour le problème.Aucune solution de contournement connue n'est disponible.
Notes is a note-taking app for Nextcloud, an open-source cloud platform. Starting in version 4.4.0 and prior to version 4.8.0, when creating a note file with HTML, the content is rendered in the preview instead of the file being offered to download. Nextcloud Notes app version 4.8.0 contains a patch for the issue. No known workarounds are available. |
Cloud | ||
|
2023-08-10 14:15:15 | CVE-2023-39953 (lien direct) | User_OIDC fournit le backend utilisateur OIDC Connect pour NextCloud, une plate-forme cloud open source.À partir de la version 1.0.0 et avant la version 1.3.3, la vérification manquante de l'émetteur aurait permis à un attaquant d'effectuer une attaque de l'homme au milieu de retour corrompu ou connu auquel ils ont également accès.User_OIDC 1.3.3 contient un patch.Aucune solution de contournement connue n'est disponible.
user_oidc provides the OIDC connect user backend for Nextcloud, an open-source cloud platform. Starting in version 1.0.0 and prior to version 1.3.3, missing verification of the issuer would have allowed an attacker to perform a man-in-the-middle attack returning corrupted or known token they also have access to. user_oidc 1.3.3 contains a patch. No known workarounds are available. |
Cloud | ||
|
2023-08-10 14:15:15 | CVE-2023-39952 (lien direct) | NextCloud Server fournit un stockage de données pour NextCloud, une plate-forme cloud open source.À partir de la version 22.0.0 et avant les versions 22.2.10.13, 23.0.12.8, 24.0.12.4, 25.0.8, 26.0.3 et 27.0.1, un utilisateur peut accéder à des fichiers à l'intérieur d'un sous-dossier d'un groupe de groupe accessible,Même si les autorisations avancées bloqueraient l'accès au sous-dossier.Les versions NextCloud Server 25.0.8, 26.0.3 et 27.0.1 et NextCloud Enterprise Server Versions 22.2.10.13, 23.0.12.8, 24.0.12.4, 25.0.8, 26.0.3 et 27.0.1 contiennent un correctif pour ce problème.Aucune solution de contournement connue n'est disponible.
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 22.0.0 and prior to versions 22.2.10.13, 23.0.12.8, 24.0.12.4, 25.0.8, 26.0.3, and 27.0.1, a user can access files inside a subfolder of a groupfolder accessible to them, even if advanced permissions would block access to the subfolder. Nextcloud Server versions 25.0.8, 26.0.3, and 27.0.1 and Nextcloud Enterprise Server versions 22.2.10.13, 23.0.12.8, 24.0.12.4, 25.0.8, 26.0.3, and 27.0.1 contain a patch for this issue. No known workarounds are available. |
Cloud | ||
|
2023-08-09 17:15:09 | CVE-2023-39531 (lien direct) | Sentry est une plate-forme de suivi des erreurs et de surveillance des performances.À partir de la version 10.0.0 et avant la version 23.7.2, un attaquant avec des exploits côté client suffisants pourrait récupérer un jeton d'accès valide pour un autre utilisateur lors de l'échange de jetons OAuth en raison d'une validation d'identification incorrecte.L'ID client doit être connu et l'application API doit déjà avoir été autorisée sur le compte utilisateur ciblé.Les clients Sentry SaaS n'ont pas besoin de prendre aucune mesure.Les installations auto-hébergées doivent passer à la version 23.7.2 ou plus.Il n'y a pas de contournement direct, mais les utilisateurs doivent examiner les applications autorisées sur leur compte et en supprimer qui ne sont plus nécessaires.
Sentry is an error tracking and performance monitoring platform. Starting in version 10.0.0 and prior to version 23.7.2, an attacker with sufficient client-side exploits could retrieve a valid access token for another user during the OAuth token exchange due to incorrect credential validation. The client ID must be known and the API application must have already been authorized on the targeted user account. Sentry SaaS customers do not need to take any action. Self-hosted installations should upgrade to version 23.7.2 or higher. There are no direct workarounds, but users should review applications authorized on their account and remove any that are no longer needed. |
Cloud | ||
|
2023-08-09 03:15:43 | CVE-2023-39341 (lien direct) | "FFRI Yarai", "FFRI Yarai Home and Business Edition" et leurs produits OEM gèrent mal les conditions exceptionnelles, ce qui peut conduire à un état de déni de service (DOS).
Les produits et versions affectés sont les suivants: FFRI YARAI Versions 3.4.0 à 3.4.6 et 3.5.0, FFRI Yarai Home and Business Edition version 1.4.0, Infotrace Mark II Malware Protection (Mark II Zerona) Versions 3.0.1 à 3.2.2, Versions Zerona / Zerona Plus 3.2.32 à 3.2.36, ActSecure?Versions 3.4.0 à 3.4.6 et 3.5.0, Dual SAFED PORTÉE PAR FFRI YARAI Version 1.4.1, EDR Plus Pack (versions FFRI YARAI FFRI 3.4.0 à 3.4.6 et 3.5.0) et Edr Plus Pack Cloud(Versions FFRI Yarai groupées 3.4.0 à 3.4.6 et 3.5.0).
"FFRI yarai", "FFRI yarai Home and Business Edition" and their OEM products handle exceptional conditions improperly, which may lead to denial-of-service (DoS) condition. Affected products and versions are as follows: FFRI yarai versions 3.4.0 to 3.4.6 and 3.5.0, FFRI yarai Home and Business Edition version 1.4.0, InfoTrace Mark II Malware Protection (Mark II Zerona) versions 3.0.1 to 3.2.2, Zerona / Zerona PLUS versions 3.2.32 to 3.2.36, ActSecure ? versions 3.4.0 to 3.4.6 and 3.5.0, Dual Safe Powered by FFRI yarai version 1.4.1, EDR Plus Pack (Bundled FFRI yarai versions 3.4.0 to 3.4.6 and 3.5.0), and EDR Plus Pack Cloud (Bundled FFRI yarai versions 3.4.0 to 3.4.6 and 3.5.0). |
Malware Cloud | ||
|
2023-08-08 18:15:16 | CVE-2023-36904 (lien direct) | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnérabilité
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability |
Vulnerability Cloud |
To see everything:
Our RSS (filtrered)
