What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-25 18:17:34 | CVE-2023-45759 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans Peter Keung Peter & acirc; & euro; & Trade; s Plugin anti-spam personnalisé | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45767 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin tweet simple wokamoto | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45756 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans Spider Teams ApplyOnline & acirc; & euro; & ldquo;Formulaire d'application Builder et Manager Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45761 (lien direct) | Unauth.Vulnérabilité reflétée de scripts inter-sites (XSS) dans le plugin de plugin de rédaction Joovii Sendle | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45769 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de post de rapport Alex Raven WP | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45772 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin de relecture de scribit | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45829 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans HappyBox Newsletter & amp;Expéditeur de courrier électronique en vrac & acirc; & euro; & ldquo;Email Newsletter Plugin for WordPress Plugin | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45764 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le post de défilement gopi ramasamy
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Gopi Ramasamy Scroll post excerpt plugin |
Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45758 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin d'administration transparent Marco Milesi | Vulnerability | ||
|
2023-10-25 18:17:34 | CVE-2023-45770 (lien direct) | Unauth.Vulnérabilité reflétée de scripts croisés (XSS) dans le plugin de vitesse WP FastWPSpeed | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45554 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via la modification du paramètre ImageExt à partir de JPG, JPEG, GIF et PNG vers JPG, JPEG, GIF, PNG, PPHPHP.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via modification of the imageext parameter from jpg, jpeg,gif, and png to jpg, jpeg,gif, png, pphphp. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45555 (lien direct) | La vulnérabilité de téléchargement de fichiers dans ZZZCMS V.2.1.9 permet à un attaquant distant d'exécuter du code arbitraire via un fichier fabriqué à la fonction Down_Url dans le fichier zzz.php.
File Upload vulnerability in zzzCMS v.2.1.9 allows a remote attacker to execute arbitrary code via a crafted file to the down_url function in zzz.php file. |
Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45646 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de bloc HenryholtGeerts PDF | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45634 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans le plugin BizTechc Copy ou Move Commentaires | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45637 (lien direct) | Unauth.Vulnérabilité reflétée des scripts croisés (XSS) dans EventPrime EventPrime & acirc; & euro; & ldquo;Calendrier des événements, Plugin de réservations et de billets | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45747 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin Syed Balkhi WP Lightbox 2 | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45640 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts croisés (XSS) dans Technowich Wp ulike & acirc; & euro; & ldquo;Plugin de boîte à outils de marketing WordPress la plus avancée | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45644 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans le plugin de générateur de raccourcis de short dehmukh CPT ANURAG DESHMUKH | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45750 (lien direct) | Unauth.Vulnérabilité reflétée de script inter-sites (XSS) dans Posimyth Nexter Extension Plugin | Vulnerability | ||
|
2023-10-25 18:17:33 | CVE-2023-45754 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-site stockée (XSS) dans I Treize Web Solution Easy Testimonial Slider and Form Plugin | Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43509 (lien direct) | Une vulnérabilité dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager pourrait permettre à un attaquant non authentifié & acirc; & nbsp; à distance d'envoyer des notifications aux ordinateurs qui sont & acirc; & nbsp; exécuter ClearPass onguard.Ces notifications peuvent alors être & acirc; & nbsp; utilisées pour phish les utilisateurs ou les inciter à télécharger le logiciel MALICIED & acirc; & nbsp;
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an unauthenticated remote attacker to send notifications to computers that are running ClearPass OnGuard. These notifications can then be used to phish users or trick them into downloading malicious software. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-44769 (lien direct) | Une vulnérabilité de script de sites croisées (XSS) dans Zenario CMS V.9.4.59197 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué aux alias de rechange d'alias.
A Cross-Site Scripting (XSS) vulnerability in Zenario CMS v.9.4.59197 allows a local attacker to execute arbitrary code via a crafted script to the Spare aliases from Alias. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-44767 (lien direct) | Une vulnérabilité de téléchargement de fichiers dans RiteCMS 3.0 permet à un attaquant local de télécharger un fichier SVG avec le contenu XSS.
A File upload vulnerability in RiteCMS 3.0 allows a local attacker to upload a SVG file with XSS content. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43795 (lien direct) | GeoServer est un serveur logiciel open source écrit en Java qui permet aux utilisateurs de partager et de modifier les données géospatiales.La spécification OGC Web Processing Service (WPS) est conçue pour traiter les informations de tout serveur à l'aide de demandes GET et POST.Cela présente l'opportunité de falsification des demandes côté serveur.Cette vulnérabilité a été corrigée dans les version 2.22.5 et 2.23.2.
GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. The OGC Web Processing Service (WPS) specification is designed to process information from any server using GET and POST requests. This presents the opportunity for Server Side Request Forgery. This vulnerability has been patched in version 2.22.5 and 2.23.2. |
Vulnerability | ||
|
2023-10-25 18:17:32 | CVE-2023-43510 (lien direct) | Une vulnérabilité dans l'interface de gestion de ClearPass Policy Manager & acirc; & nbsp;Un exploit réussi & acirc; & nbsp;
A vulnerability in the ClearPass Policy Manager web-based management interface allows remote authenticated users to run arbitrary commands on the underlying host. A successful exploit could allow an attacker to execute arbitrary commands as a non-privileged user on the underlying operating system leading to partial system compromise. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43507 (lien direct) | Une vulnérabilité dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager pourrait permettre à une attaque Authenticated & acirc; & nbsp; à distance de mener des attaques d'injection SQL contre & acirc; & nbsp; l'instance ClearPass Policy Manager.Un attaquant pourrait & acirc; & nbsp; exploiter cette vulnérabilité pour obtenir et modifier Sensitive & acirc; & nbsp; Informations dans la base de données sous-jacente potentiellement menant & acirc; & nbsp; pour compromettre le compromis du ClearPass Policy Manager & acirc; & nbsp; cluster.
A vulnerability in the web-based management interface of ClearPass Policy Manager could allow an authenticated remote attacker to conduct SQL injection attacks against the ClearPass Policy Manager instance. An attacker could exploit this vulnerability to obtain and modify sensitive information in the underlying database potentially leading to complete compromise of the ClearPass Policy Manager cluster. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43506 (lien direct) | Une vulnérabilité dans l'agent Linux ClearPass OnGuard pourrait & acirc; & nbsp; permettre aux utilisateurs malveillants sur une instance Linux d'élever leur & acirc; & nbsp; les privilèges des utilisateurs à ceux d'un rôle plus élevé.Un succès & acirc; & nbsp; Exploit permet aux utilisateurs malveillants d'exécuter un code arbitraire & acirc; & nbsp; avec des privilèges de niveau racine sur l'instance Linux.
A vulnerability in the ClearPass OnGuard Linux agent could allow malicious users on a Linux instance to elevate their user privileges to those of a higher role. A successful exploit allows malicious users to execute arbitrary code with root level privileges on the Linux instance. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43360 (lien direct) | La vulnérabilité de script du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre de répertoire supérieur dans le composant de menu File Picker.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the Top Directory parameter in the File Picker Menu component. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43281 (lien direct) | Double vulnérabilité gratuite dans Nothings STB Image.h V.2.28 permet à un attaquant distant de provoquer un déni de service via un fichier fabriqué à la fonction STBI_LOAD_GIF_MAIN.
Double Free vulnerability in Nothings Stb Image.h v.2.28 allows a remote attacker to cause a denial of service via a crafted file to the stbi_load_gif_main function. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-41960 (lien direct) | La vulnérabilité permet à une application tierce non privilégiée (non fiancée) d'interagir avec un contenu Provider dangelé exposé par l'application Android Agent, modifiant potentiellement les paramètres sensibles de l'application client Android elle-même.
The vulnerability allows an unprivileged(untrusted) third-party application to interact with a content-provider unsafely exposed by the Android Agent application, potentially modifying sensitive settings of the Android Client application itself. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43488 (lien direct) | La vulnérabilité permet une application privilégiée faible (non fiable)
Modifiez une propriété système critique qui doit être refusée, afin de permettre d'exposer le protocole ADB (Android Debug Bridge) sur le réseau, en l'exploitant pour gagner un shell privilégié sur l'appareil sans nécessiter l'accès physique via USB.
The vulnerability allows a low privileged (untrusted) application to modify a critical system property that should be denied, in order to enable the ADB (Android Debug Bridge) protocol to be exposed on the network, exploiting it to gain a privileged shell on the device without requiring the physical access through USB. |
Vulnerability | ||
|
2023-10-25 18:17:31 | CVE-2023-43508 (lien direct) | Vulnérabilités dans l'interface de gestion basée sur le Web de & acirc; & nbsp; ClearPass Policy Manager permettez à un attaquant de Read only & acirc; & nbsp; privilèges d'effectuer des actions qui modifient l'état de & acirc; & nbsp; ClearPass Policy Manager Instance.Exploitation réussie et acirc; & nbsp; de ces vulnérabilités permettent à un attaquant de terminer & acirc; & nbsp; les actions changeant d'état dans l'interface de gestion basée sur le Web & acirc; & nbsp; qui ne devrait pas être autorisée par son niveau actuel de & acirc; & nbsp; Autorisation sur la plate-forme.
Vulnerabilities in the web-based management interface of ClearPass Policy Manager allow an attacker with read-only privileges to perform actions that change the state of the ClearPass Policy Manager instance. Successful exploitation of these vulnerabilities allow an attacker to complete state-changing actions in the web-based management interface that should not be allowed by their current level of authorization on the platform. |
Vulnerability | ||
|
2023-10-25 18:17:30 | CVE-2023-41255 (lien direct) | La vulnérabilité permet à un utilisateur non privilégié ayant accès au sous-réseau du périphérique TPC-110W pour gagner un shell racine sur l'appareil lui-même abusant du manque d'authentification
du & acirc; & euro; & tilde; su & acirc; & euro; & commerce;Fichier binaire installé sur l'appareil accessible via le protocole ADB (Android Debug Bridge) exposé sur le réseau.
The vulnerability allows an unprivileged user with access to the subnet of the TPC-110W device to gain a root shell on the device itself abusing the lack of authentication of the ‘su’ binary file installed on the device that can be accessed through the ADB (Android Debug Bridge) protocol exposed on the network. |
Vulnerability | ||
|
2023-10-25 18:17:30 | CVE-2023-41372 (lien direct) | La vulnérabilité permet à une application de troisième partie sans privilège (non fiable) de modifier arbitraire les paramètres du serveur de l'application client Android, l'incitant à se connecter à un serveur malveillant contrôlé par attaquant, ce qui est possible en forgeant une intention de diffusion valide cryptée avec un RSA à code durpaire de clés
The vulnerability allows an unprivileged (untrusted) third- party application to arbitrary modify the server settings of the Android Client application, inducing it to connect to an attacker - controlled malicious server.This is possible by forging a valid broadcast intent encrypted with a hardcoded RSA key pair |
Vulnerability | ||
|
2023-10-25 18:17:30 | CVE-2023-3112 (lien direct) | Une vulnérabilité a été signalée dans le capteur de verrouillage virtuel des laboratoires elliptiques pour ThinkPad T14 Gen 3 qui pourrait permettre à un attaquant avec un accès local pour exécuter du code avec des privilèges élevés.
A vulnerability was reported in Elliptic Labs Virtual Lock Sensor for ThinkPad T14 Gen 3 that could allow an attacker with local access to execute code with elevated privileges. |
Vulnerability | ||
|
2023-10-25 18:17:30 | CVE-2023-41339 (lien direct) | GeoServer est un serveur logiciel open source écrit en Java qui permet aux utilisateurs de partager et de modifier les données géospatiales.La spécification WMS définit un paramètre `` SLD = `` pour les opérations GetMap, GetleGendGraphic et GetFeatureInfo pour le "style dynamique" fourni par l'utilisateur.L'activation de l'utilisation de styles dynamiques, sans également configurer des vérifications d'URL, offre la possibilité de falsification de la demande de service de service.Cette vulnérabilité peut être utilisée pour voler des hachages de Netntlmv2 utilisateur qui pourraient être relayés ou fissurés en externe pour obtenir un accès supplémentaire.Cette vulnérabilité a été corrigée dans les versions 2.22.5 et 2.23.2.
GeoServer is an open source software server written in Java that allows users to share and edit geospatial data. The WMS specification defines an ``sld=`` parameter for GetMap, GetLegendGraphic and GetFeatureInfo operations for user supplied "dynamic styling". Enabling the use of dynamic styles, without also configuring URL checks, provides the opportunity for Service Side Request Forgery. This vulnerability can be used to steal user NetNTLMv2 hashes which could be relayed or cracked externally to gain further access. This vulnerability has been patched in versions 2.22.5 and 2.23.2. |
Vulnerability | ||
|
2023-10-25 18:17:29 | CVE-2023-39231 (lien direct) | PingFederate à l'aide de l'adaptateur MFA Pingone permet à un nouveau périphérique MFA d'être apparié sans nécessiter une authentification de deuxième facteur à partir d'un périphérique enregistré existant.Un acteur de menace peut être en mesure d'exploiter cette vulnérabilité pour enregistrer son propre appareil MFA s'ils ont connaissance des premières informations d'identification d'un facteur victime de l'utilisateur.
PingFederate using the PingOne MFA adapter allows a new MFA device to be paired without requiring second factor authentication from an existing registered device. A threat actor may be able to exploit this vulnerability to register their own MFA device if they have knowledge of a victim user\'s first factor credentials. |
Vulnerability Threat | ||
|
2023-10-25 18:17:29 | CVE-2023-39930 (lien direct) | Une vulnérabilité de contournement d'authentification du premier facteur existe dans le pingfederate avec un rayon pingide PCV lorsqu'une demande d'authentification MSCHAP est envoyée via une demande de client de rayon fabriquément fabriqué.
A first-factor authentication bypass vulnerability exists in the PingFederate with PingID Radius PCV when a MSCHAP authentication request is sent via a maliciously crafted RADIUS client request. |
Vulnerability | ||
|
2023-10-25 18:17:29 | CVE-2023-39924 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin de liste de fichiers Simple Mitchell Bennis | Vulnerability | ||
|
2023-10-25 18:17:28 | CVE-2023-37913 (lien direct) | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.À partir de la version 3.5-Milestone-1 et avant les versions 14.10.8 et 15.3-RC-1, déclenchant le convertisseur de bureau avec un nom de fichier spécialement conçu permet d'écrire le contenu de l'attachement \\ à un emplacement contrôlé par l'attaquant sur le serveurTant que le processus Java a un accès en écriture à cet emplacement.En particulier dans la combinaison avec le mouvement de l'attachement, une fonctionnalité introduite dans Xwiki 14.0, il est facile à reproduire, mais il est également possible de se reproduire dans des versions aussi anciennes que Xwiki 3.5 en téléchargeant la fixation via l'API REST qui ne supprime pas `/ `ou` \ `du nom de fichier.Comme le type de mime de l'attachement n'a pas d'importance pour l'exploitation, cela pourrait être utilisé pour remplacer le fichier «jar» d'une extension qui permettrait d'exécuter un code Java arbitraire et a ainsi un impact sur la confidentialité, l'intégrité et la disponibilitéde l'installation de Xwiki.Cette vulnérabilité a été corrigée dans Xwiki 14.10.8 et 15.3rc1.Il n'y a pas de solution de contournement connu en plus de désactiver le convertisseur de bureau.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 3.5-milestone-1 and prior to versions 14.10.8 and 15.3-rc-1, triggering the office converter with a specially crafted file name allows writing the attachment\'s content to an attacker-controlled location on the server as long as the Java process has write access to that location. In particular in the combination with attachment moving, a feature introduced in XWiki 14.0, this is easy to reproduce but it also possible to reproduce in versions as old as XWiki 3.5 by uploading the attachment through the REST API which doesn\'t remove `/` or `\` from the filename. As the mime type of the attachment doesn\'t matter for the exploitation, this could e.g., be used to replace the `jar`-file of an extension which would allow executing arbitrary Java code and thus impact the confidentiality, integrity and availability of the XWiki installation. This vulnerability has been patched in XWiki 14.10.8 and 15.3RC1. There are no known workarounds apart from disabling the office converter. |
Vulnerability | ||
|
2023-10-25 18:17:28 | CVE-2023-37910 (lien direct) | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.En commençant par l'introduction de la prise en charge de la pièce jointe dans la version 14.0-RC-1 et avant les versions 14.4.8, 14.10.4 et 15.0-RC-1, un attaquant avec accès d'édition sur n'importe quel document (peut être le profil utilisateur qui estmodifiable par défaut) peut déplacer toute pièce jointe de tout autre document à ce document contrôlé par l'attaquant.Cela permet à l'attaquant d'accéder et éventuellement de publier toute pièce jointe dont le nom est connu, peu importe si l'attaquant a des droits de vue ou de modification sur le document source de cette pièce jointe.De plus, la pièce jointe est supprimée du document source.Cette vulnérabilité a été corrigée dans Xwiki 14.4.8, 14.10.4 et 15.0 RC1.Il n'y a pas de solution de contournement en dehors de la mise à niveau vers une version fixe.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting with the introduction of attachment move support in version 14.0-rc-1 and prior to versions 14.4.8, 14.10.4, and 15.0-rc-1, an attacker with edit access on any document (can be the user profile which is editable by default) can move any attachment of any other document to this attacker-controlled document. This allows the attacker to access and possibly publish any attachment of which the name is known, regardless if the attacker has view or edit rights on the source document of this attachment. Further, the attachment is deleted from the source document. This vulnerability has been patched in XWiki 14.4.8, 14.10.4, and 15.0 RC1. There is no workaround apart from upgrading to a fixed version. |
Vulnerability | ||
|
2023-10-25 18:17:28 | CVE-2023-37911 (lien direct) | La plate-forme Xwiki est une plate-forme wiki générique offrant des services d'exécution pour des applications construites en plus.Commençant dans la version 9.4-RC-1 et avant les versions 14.10.8 et 15.3-RC-1, lorsqu'un document a été supprimé et recréé, il est possible pour les utilisateurs de voir directement sur le document recréé mais pas surLe document supprimé pour afficher le contenu du document supprimé.Une telle situation pourrait survenir lorsque des droits ont été ajoutés au document supprimé.Cela peut être exploité via la fonction DIFF et, en partie, via l'API REST en utilisant des versions telles que «supprimé: 1» (où le nombre compte les suppressions dans le wiki et est donc devignable).Compte tenu des droits suffisants, l'attaquant peut également recréer le document supprimé, étendant ainsi la portée à n'importe quel document supprimé tant que l'attaquant a modifié directement à l'emplacement du document supprimé.Cette vulnérabilité a été corrigée dans Xwiki 14.10.8 et 15.3 RC1 en vérifiant correctement les droits lorsque les révisions supprimées d'un document sont accessibles.La seule solution de contournement est de nettoyer régulièrement les documents supprimés pour minimiser l'exposition potentielle.Des soins supplémentaires doivent être prises lors de la suppression des documents sensibles qui sont protégés individuellement (et non, par exemple, en étant placés dans un espace protégé) ou en supprimant un espace protégé dans son ensemble.
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. Starting in version 9.4-rc-1 and prior to versions 14.10.8 and 15.3-rc-1, when a document has been deleted and re-created, it is possible for users with view right on the re-created document but not on the deleted document to view the contents of the deleted document. Such a situation might arise when rights were added to the deleted document. This can be exploited through the diff feature and, partially, through the REST API by using versions such as `deleted:1` (where the number counts the deletions in the wiki and is thus guessable). Given sufficient rights, the attacker can also re-create the deleted document, thus extending the scope to any deleted document as long as the attacker has edit right in the location of the deleted document. This vulnerability has been patched in XWiki 14.10.8 and 15.3 RC1 by properly checking rights when deleted revisions of a document are accessed. The only workaround is to regularly clean deleted documents to minimize the potential exposure. Extra care should be taken when deleting sensitive documents that are protected individually (and not, e.g., by being placed in a protected space) or deleting a protected space as a whole. |
Vulnerability | ||
|
2023-10-25 18:17:28 | CVE-2023-36085 (lien direct) | Le SisqualWFM 7.1.319.103 à 7.1.319.111 pour Android, a une vulnérabilité d'injection d'en-tête hôte dans son point de terminaison "/ SisqualidentityServer / Core /".En modifiant l'en-tête hôte HTTP, un attaquant peut modifier les liens de page Web et même rediriger les utilisateurs vers des emplacements arbitraires ou malveillants.Cela peut entraîner des attaques de phishing, une distribution de logiciels malveillants et un accès non autorisé aux ressources sensibles.
The sisqualWFM 7.1.319.103 thru 7.1.319.111 for Android, has a host header injection vulnerability in its "/sisqualIdentityServer/core/" endpoint. By modifying the HTTP Host header, an attacker can change webpage links and even redirect users to arbitrary or malicious locations. This can lead to phishing attacks, malware distribution, and unauthorized access to sensitive resources. |
Malware Vulnerability | ||
|
2023-10-25 18:17:28 | CVE-2023-37912 (lien direct) | Le rendu Xwiki est un système de rendu générique qui convertit l'entrée textuelle dans une syntaxe donnée dans une autre syntaxe.Avant la version 14.10.6de `org.xwiki.platform: xwiki-core-redering-macro-footnotes` et` org.xwiki.platform: xwiki-redering-macro-footnotes` et avant la version 15.1-rc-1 de `org.xwiki.platform` et avant la version 15.1-rc-1 de` org.xwiki.platform »: Xwiki-Rendring-macro-Notes de bas de page », la macro de note de bas de page a exécuté son contenu dans un contexte potentiellement différent de celui dans lequel il a été défini.En particulier en combinaison avec la macro include, cela permet à l'escalade des privilèges d'un simple compte utilisateur de Xwiki à la programmation des droits et donc à l'exécution du code distant, ce qui a un impact sur la confidentialité, l'intégrité et la disponibilité de toute l'installation de Xwiki.Cette vulnérabilité a été corrigée dans Xwiki 14.10.6 et 15.1-RC-1.Il n'y a pas de solution de contournement en dehors de la mise à niveau vers une version fixe de la macro de note de bas de page.
XWiki Rendering is a generic Rendering system that converts textual input in a given syntax into another syntax. Prior to version 14.10.6 of `org.xwiki.platform:xwiki-core-rendering-macro-footnotes` and `org.xwiki.platform:xwiki-rendering-macro-footnotes` and prior to version 15.1-rc-1 of `org.xwiki.platform:xwiki-rendering-macro-footnotes`, the footnote macro executed its content in a potentially different context than the one in which it was defined. In particular in combination with the include macro, this allows privilege escalation from a simple user account in XWiki to programming rights and thus remote code execution, impacting the confidentiality, integrity and availability of the whole XWiki installation. This vulnerability has been patched in XWiki 14.10.6 and 15.1-rc-1. There is no workaround apart from upgrading to a fixed version of the footnote macro. |
Vulnerability | ||
|
2023-10-25 18:17:27 | CVE-2023-34048 (lien direct) | VCenter Server contient une vulnérabilité d'écriture hors limites dans la mise en œuvre du protocole DCERPC. & acirc; & nbsp; Un acteur malveillant avec un accès réseau à VCenter Server peut déclencher une écriture hors limites conduisant potentiellement à l'exécution du code distant.
vCenter Server contains an out-of-bounds write vulnerability in the implementation of the DCERPC protocol. A malicious actor with network access to vCenter Server may trigger an out-of-bounds write potentially leading to remote code execution. |
Vulnerability | ||
|
2023-10-25 18:17:25 | CVE-2023-26219 (lien direct) | Les composants de Hawk Console and Hawk Agent of Tibco Software INC. \'S Tibco Hawk, Tibco Hawk Distribution pour Tibco Silver Fabric, Tibco Operational Intelligence Hawk Redtail et Tibco Runtime Agent contiennent une vulnérabilité qui permet théoriquement un attaquant avec accès au HawkConsole & acirc; & euro; & Trade; s et agent & acirc; & euro; & Trade; s journal pour obtenir des informations d'identification utilisées pour accéder aux serveurs EMS associés.Les versions affectées sont Tibco Software INC. \'S Tibco Hawk: Versions 6.2.2 et ci-dessous, Tibco Hawk Distribution pour Tibco Silver Fabric: Versions 6.2.2 et ci-dessous, Tibco Operation Intelligence Hawk Redtail: Versions 7.2.1 et ci-dessous, etTIBCO Runtime Agent: Versions 5.12.2 et ci-dessous.
The Hawk Console and Hawk Agent components of TIBCO Software Inc.\'s TIBCO Hawk, TIBCO Hawk Distribution for TIBCO Silver Fabric, TIBCO Operational Intelligence Hawk RedTail, and TIBCO Runtime Agent contain a vulnerability that theoretically allows an attacker with access to the Hawk Console’s and Agent’s log to obtain credentials used to access associated EMS servers. Affected releases are TIBCO Software Inc.\'s TIBCO Hawk: versions 6.2.2 and below, TIBCO Hawk Distribution for TIBCO Silver Fabric: versions 6.2.2 and below, TIBCO Operational Intelligence Hawk RedTail: versions 7.2.1 and below, and TIBCO Runtime Agent: versions 5.12.2 and below. |
Vulnerability | ||
|
2023-10-25 18:17:24 | CVE-2023-25032 (lien direct) | Auth.(Admin +) Vulnérabilité de script inter-sites stockées (XSS) en imprimé, PDF, e-mail par Printfriendly Plugin | Vulnerability | ||
|
2023-10-25 18:17:23 | CVE-2023-20273 (lien direct) | Une vulnérabilité dans la fonction d'interface utilisateur Web du logiciel Cisco IOS XE pourrait permettre à un attaquant distant authentifié d'injecter des commandes avec les privilèges de Root.
Cette vulnérabilité est due à une validation d'entrée insuffisante.Un attaquant pourrait exploiter cette vulnérabilité en envoyant une entrée fabriquée à l'interface utilisateur Web.Un exploit réussi pourrait permettre à l'attaquant d'injecter des commandes au système d'exploitation sous-jacent avec des privilèges racine.
A vulnerability in the web UI feature of Cisco IOS XE Software could allow an authenticated, remote attacker to inject commands with the privileges of root. This vulnerability is due to insufficient input validation. An attacker could exploit this vulnerability by sending crafted input to the web UI. A successful exploit could allow the attacker to inject commands to the underlying operating system with root privileges. |
Vulnerability Threat | ||
|
2023-10-25 18:17:23 | CVE-2023-23767 (lien direct) | Affectation d'autorisation incorrecte pour la ressource critique dans GitHub Enterprise Server qui a permis aux comptes d'utilisateurs du système d'exploitation locaux de lire les détails de la connexion MySQL, y compris le mot de passe MySQL via des fichiers de configuration. & Acirc; & nbsp; Cette vulnérabilité a affecté toutes les versions de GitHub Enterprise Server et a été corrigé dans les versions 3.7.18, 3.8.11, 3.9.6 et 3.10.3.
Incorrect Permission Assignment for Critical Resource in GitHub Enterprise Server that allowed local operating system user accounts to read MySQL connection details including the MySQL password via configuration files. This vulnerability affected all versions of GitHub Enterprise Server and was fixed in versions 3.7.18, 3.8.11, 3.9.6, and 3.10.3. |
Vulnerability | ||
|
2023-10-25 18:17:15 | CVE-2022-3698 (lien direct) | Une vulnérabilité de déni de service a été signalée dans les versions de Lenovo Hardwarescanplugin avant
1.3.1.2
et & acirc; & nbsp;
Lenovo Diagnostics Versions avant 4,45
Cela pourrait permettre à un utilisateur local avec un accès administratif pour déclencher un crash système.
A denial of service vulnerability was reported in the Lenovo HardwareScanPlugin versions prior to 1.3.1.2 and Lenovo Diagnostics versions prior to 4.45 that could allow a local user with administrative access to trigger a system crash. |
Vulnerability |
To see everything:
Our RSS (filtrered)
