What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-25 18:17:15 | CVE-2022-3698 (lien direct) | Une vulnérabilité de déni de service a été signalée dans les versions de Lenovo Hardwarescanplugin avant
1.3.1.2
et & acirc; & nbsp;
Lenovo Diagnostics Versions avant 4,45
Cela pourrait permettre à un utilisateur local avec un accès administratif pour déclencher un crash système.
A denial of service vulnerability was reported in the Lenovo HardwareScanPlugin versions prior to 1.3.1.2 and Lenovo Diagnostics versions prior to 4.45 that could allow a local user with administrative access to trigger a system crash. |
Vulnerability | ||
|
2023-10-25 18:17:14 | CVE-2022-38484 (lien direct) | Une vulnérabilité arbitraire de téléchargement de fichiers et de transfert de répertoire existe dans la fonctionnalité de téléchargement de fichiers du menu de configuration du système dans le portail Agevolt avant la version 0.1.Un attaquant authentifié distant pourrait tirer parti de cette vulnérabilité pour télécharger des fichiers sur n'importe quel emplacement du système d'exploitation cible avec des privilèges de serveur Web.
An arbitrary file upload and directory traversal vulnerability exist in the file upload functionality of the System Setup menu in AgeVolt Portal prior to version 0.1. A remote authenticated attacker could leverage this vulnerability to upload files to any location on the target operating system with web server privileges. |
Vulnerability | ||
|
2023-10-25 18:17:14 | CVE-2022-38485 (lien direct) | Une vulnérabilité de traversée de répertoires existe dans le portail Agevolt avant la version 0.1 qui conduit à une divulgation d'informations.Un attaquant authentifié distant pourrait tirer parti de cette vulnérabilité à lire des fichiers à partir de n'importe quel emplacement du système d'exploitation cible avec des privilèges de serveur Web.
A directory traversal vulnerability exists in the AgeVolt Portal prior to version 0.1 that leads to Information Disclosure. A remote authenticated attacker could leverage this vulnerability to read files from any location on the target operating system with web server privileges. |
Vulnerability | ||
|
2023-10-25 18:16:54 | CVE-2022-0353 (lien direct) | Une vulnérabilité de déni de service a été signalée dans les versions de Lenovo Hardwarescanplugin avant
1.3.1.2
et & acirc; & nbsp;
Lenovo Diagnostics Versions avant 4,45
Cela pourrait permettre à un utilisateur local avec un accès administratif pour déclencher un crash système.
A denial of service vulnerability was reported in the Lenovo HardwareScanPlugin versions prior to 1.3.1.2 and Lenovo Diagnostics versions prior to 4.45 that could allow a local user with administrative access to trigger a system crash. |
Vulnerability | ||
|
2023-10-24 00:15:08 | CVE-2023-46058 (lien direct) | La vulnérabilité des scripts du site croisé (XSS) dans GeekLog-core GeekLog V.2.2.2 permet à un attaquant distant d'exécuter du code arbitraire via une charge utile fabriquée sur le paramètre GRP_DESC du composant admin / groupe.php.
Cross Site Scripting (XSS) vulnerability in Geeklog-Core geeklog v.2.2.2 allows a remote attacker to execute arbitrary code via a crafted payload to the grp_desc parameter of the admin/group.php component. |
Vulnerability | ||
|
2023-10-24 00:15:08 | CVE-2023-46059 (lien direct) | La vulnérabilité des scripts du site croisé (XSS) dans Geeklog-core GeekLog V.2.2.2 permet à un attaquant distant d'exécuter un code arbitrairevia une charge utile fabriquée au service et URL du site Web aux paramètres de ping du composant admin / trackback.php.
Cross Site Scripting (XSS) vulnerability in Geeklog-Core geeklog v.2.2.2 allows a remote attacker to execute arbitrary code via a crafted payload to the Service, and website URL to Ping parameters of the admin/trackback.php component. |
Vulnerability | ||
|
2023-10-23 22:15:09 | CVE-2023-44760 (lien direct) | Les vulnérabilités de script de sites croisées (XSS) dans le béton CMS V.9.2.1 permettent à un attaquant d'exécuter du code arbitraire via un script artisanal sur les codes de suivi de l'en-tête et du pied de page du SEO & amp;Statistiques.
Multiple Cross Site Scripting (XSS) vulnerabilities in Concrete CMS v.9.2.1 allow an attacker to execute arbitrary code via a crafted script to the Header and Footer Tracking Codes of the SEO & Statistics. |
Vulnerability | ||
|
2023-10-23 22:15:09 | CVE-2023-43358 (lien direct) | La vulnérabilité des scripts du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre de titre dans le composant de menu d'actualités.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the Title parameter in the News Menu component. |
Vulnerability | ||
|
2023-10-23 21:15:08 | CVE-2023-37636 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans UVDESK Community Skeleton v1.1.1 permet aux attaquants d'exécuter des scripts Web arbitraires ou du HTML via une charge utile fabriquée injectée dans le champ Message lors de la création d'un billet.
A stored cross-site scripting (XSS) vulnerability in UVDesk Community Skeleton v1.1.1 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Message field when creating a ticket. |
Vulnerability | ||
|
2023-10-23 20:15:09 | CVE-2023-33840 (lien direct) | IBM Security Verify Governance 10.0 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 256037.
IBM Security Verify Governance 10.0 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 256037. |
Vulnerability | ||
|
2023-10-23 20:15:08 | CVE-2023-27149 (lien direct) | Une vulnérabilité de script de script inter-sites stockée (XSS) dans Enhancesoft Osticket v1.17.2 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre d'entrée d'étiquette lors de la mise à jour d'une liste personnalisée.
A stored cross-site scripting (XSS) vulnerability in Enhancesoft osTicket v1.17.2 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Label input parameter when updating a custom list. |
Vulnerability | ||
|
2023-10-23 20:15:08 | CVE-2023-27148 (lien direct) | Une vulnérabilité de script inter-sites stockée (XSS) dans le panneau d'administration dans Enhancesoft Ostticket v1.17.2 permet aux attaquants d'exécuter des scripts Web arbitraires ou HTML via une charge utile fabriquée injectée dans le paramètre de nom de rôle.
A stored cross-site scripting (XSS) vulnerability in the Admin panel in Enhancesoft osTicket v1.17.2 allows attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Role Name parameter. |
Vulnerability | ||
|
2023-10-23 19:15:11 | CVE-2023-46288 (lien direct) | Exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée dans le flux d'air d'Apache. Ce problème affecte le flux d'air Apache de 2.4.0 à 2.7.0.
Les informations de configuration sensibles ont été exposées à des utilisateurs authentifiés avec la possibilité de lire la configuration via Airflow REST REST pour la configuration même lorsque l'option Expose_Config & Acirc; & nbsp; est définie sur non sensible.L'option Expose_Config est fausse par défaut.Il est recommandé de passer à une version qui n'est pas affectée si vous définissez Expose_config & acirc; & nbsp; vers la configuration non sensible et acirc; & nbsp;Il s'agit d'une erreur différente de CVE-2023-45348 & acirc; & nbsp; qui permet à l'utilisateur authentifié de récupérer des valeurs de configuration individuelles en 2.7. * En fabriquant spécialement leur demande (résolu en 2.7.2).
Il est recommandé aux utilisateurs de passer à la version 2.7.2, ce qui résout le problème et corrige en outre & acirc; & nbsp; CVE-2023-45348.
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Airflow.This issue affects Apache Airflow from 2.4.0 to 2.7.0. Sensitive configuration information has been exposed to authenticated users with the ability to read configuration via Airflow REST API for configuration even when the expose_config option is set to non-sensitive-only. The expose_config option is False by default. It is recommended to upgrade to a version that is not affected if you set expose_config to non-sensitive-only configuration. This is a different error than CVE-2023-45348 which allows authenticated user to retrieve individual configuration values in 2.7.* by specially crafting their request (solved in 2.7.2). Users are recommended to upgrade to version 2.7.2, which fixes the issue and additionally fixes CVE-2023-45348. |
Vulnerability | ||
|
2023-10-23 18:15:09 | CVE-2023-38722 (lien direct) | IBM Sterling Partner Engagement Manager 6.1.2, 6.2.0 et 6.2.2 est vulnérable aux scripts inter-sites stockés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 262174.
IBM Sterling Partner Engagement Manager 6.1.2, 6.2.0, and 6.2.2 is vulnerable to stored cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 262174. |
Vulnerability | ||
|
2023-10-23 16:15:09 | CVE-2023-43067 (lien direct) | Dell Unity Avant 5.3 contient une vulnérabilité d'injection d'externes externes XML.Une attaque XXE pourrait potentiellement exploiter cette vulnérabilité divulguant des fichiers locaux dans le système de fichiers.
Dell Unity prior to 5.3 contains an XML External Entity injection vulnerability. An XXE attack could potentially exploit this vulnerability disclosing local files in the file system. |
Vulnerability Threat | ||
|
2023-10-23 16:15:09 | CVE-2023-46122 (lien direct) | SBT est un outil de construction pour Scala, Java et autres.Étant donné un fichier zip ou jar spécialement conçu, `io.unzip` permet l'écriture d'un fichier arbitraire.Cela aurait le potentiel de remplacer `/ root / .ssh / autorisé_keys`.Dans le code principal de SBT \\, `io.unzip` est utilisé dans la tâche` PulreMoteCache` et `résolvers.remote`;Cependant, de nombreux projets utilisent «io.unzip (...)» directement pour implémenter des tâches personnalisées.Cette vulnérabilité a été corrigée dans la version 1.9.7.
sbt is a build tool for Scala, Java, and others. Given a specially crafted zip or JAR file, `IO.unzip` allows writing of arbitrary file. This would have potential to overwrite `/root/.ssh/authorized_keys`. Within sbt\'s main code, `IO.unzip` is used in `pullRemoteCache` task and `Resolvers.remote`; however many projects use `IO.unzip(...)` directly to implement custom tasks. This vulnerability has been patched in version 1.9.7. |
Tool Vulnerability | ||
|
2023-10-23 16:15:09 | CVE-2023-43066 (lien direct) | Dell Unity avant 5.3 contient une vulnérabilité de dérivation de coquille restreinte.Cela pourrait permettre à un attaquant local authentifié d'exploiter cette vulnérabilité en s'authentifiant au CLI de l'appareil et en émettant certaines commandes.
Dell Unity prior to 5.3 contains a Restricted Shell Bypass vulnerability. This could allow an authenticated, local attacker to exploit this vulnerability by authenticating to the device CLI and issuing certain commands. |
Vulnerability Threat | ||
|
2023-10-23 15:15:09 | CVE-2023-43074 (lien direct) | Dell Unity 5.3 Contient (s) une vulnérabilité arbitraire de création de fichiers.Un attaquant non authentifié distant pourrait potentiellement exploiter cette vulnérabilité en fabriquant des fichiers arbitraires via une demande au serveur.
Dell Unity 5.3 contain(s) an Arbitrary File Creation vulnerability. A remote unauthenticated attacker could potentially exploit this vulnerability by crafting arbitrary files through a request to the server. |
Vulnerability Threat | ||
|
2023-10-23 15:15:09 | CVE-2023-46127 (lien direct) | FRAPPE est un cadre d'application Web complet qui utilise Python et MariADB côté serveur et une bibliothèque côté client intégré.Un utilisateur de Frappe malveillant avec accès au bureau pourrait créer des documents contenant des charges utiles HTML permettant l'injection HTML.Cette vulnérabilité a été corrigée dans la version 14.49.0.
Frappe is a full-stack web application framework that uses Python and MariaDB on the server side and an integrated client side library. A malicious Frappe user with desk access could create documents containing HTML payloads allowing HTML Injection. This vulnerability has been patched in version 14.49.0. |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2023-28796 (lien direct) | Une mauvaise vérification de la vulnérabilité de signature cryptographique dans le connecteur client ZSCaler sur Linux permet l'injection de code.Ce problème affecte le connecteur client ZSCaler pour Linux: avant 1.3.1.6.
Improper Verification of Cryptographic Signature vulnerability in Zscaler Client Connector on Linux allows Code Injection. This issue affects Zscaler Client Connector for Linux: before 1.3.1.6. |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2021-26736 (lien direct) | Plusieurs vulnérabilités dans le programme d'installation du connecteur client ZSCaler et désinstaller pour Windows avant 3,6 ont permis l'exécution de binaires à partir d'un chemin privilégié faible.Un adversaire local peut être en mesure d'exécuter du code avec des privilèges système.
Multiple vulnerabilities in the Zscaler Client Connector Installer and Uninstaller for Windows prior to 3.6 allowed execution of binaries from a low privileged path. A local adversary may be able to execute code with SYSTEM privileges. |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2023-28793 (lien direct) | La vulnérabilité de débordement de tampon dans la bibliothèque SignElf utilisée par le connecteur client ZSCaler sur Linux permet l'injection de code.Ce problème affecte le connecteur client ZSCaler pour Linux: avant 1.3.1.6.
Buffer overflow vulnerability in the signelf library used by Zscaler Client Connector on Linux allows Code Injection. This issue affects Zscaler Client Connector for Linux: before 1.3.1.6. |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2023-28795 (lien direct) | La vulnérabilité d'erreur de validation d'origine dans le connecteur client ZSCaler sur Linux permet l'inclusion du code dans le processus existant.Ce problème affecte le connecteur client ZSCaler pour Linux: avant 1.3.1.6.
Origin Validation Error vulnerability in Zscaler Client Connector on Linux allows Inclusion of Code in Existing Process. This issue affects Zscaler Client Connector for Linux: before 1.3.1.6. |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2023-28805 (lien direct) | Une mauvaise vulnérabilité de validation d'entrée dans le connecteur client ZSCaler sur Linux permet une escalade de privilège.Ce problème affecte le connecteur du client: avant 1.4.0.105
An Improper Input Validation vulnerability in Zscaler Client Connector on Linux allows Privilege Escalation. This issue affects Client Connector: before 1.4.0.105 |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2023-28804 (lien direct) | Une vérification inappropriée de la vulnérabilité de signature cryptographique dans le connecteur client ZSCaler sur Linux permet de remplacer les binaires. Ce problème affecte le connecteur client Linux: avant 1.4.0.105
An Improper Verification of Cryptographic Signature vulnerability in Zscaler Client Connector on Linux allows replacing binaries.This issue affects Linux Client Connector: before 1.4.0.105 |
Vulnerability | ||
|
2023-10-23 14:15:09 | CVE-2021-26738 (lien direct) | Le connecteur client ZSCaler pour macOS avant 3.7 avait une vulnérabilité de chemin de recherche non citée via la variable de chemin.Un adversaire local peut être en mesure d'exécuter du code avec des privilèges racine.
Zscaler Client Connector for macOS prior to 3.7 had an unquoted search path vulnerability via the PATH variable. A local adversary may be able to execute code with root privileges. |
Vulnerability | ||
|
2023-10-23 07:15:11 | CVE-2023-31122 (lien direct) | Out-of-Or-of-Bounds Lire la vulnérabilité dans MOD_MACRO d'Apache HTTP Server.Ce problème affecte Apache HTTP Server: via 2.4.57.
Out-of-bounds Read vulnerability in mod_macro of Apache HTTP Server.This issue affects Apache HTTP Server: through 2.4.57. |
Vulnerability | ||
|
2023-10-23 01:15:07 | CVE-2023-5702 (lien direct) | Une vulnérabilité a été trouvée dans Viessmann Vitogate 300 jusqu'à 2,1.3.0 et classifiée comme problématique.Ce problème est une fonctionnalité inconnue du fichier / cgi-bin /.La manipulation conduit à une demande directe.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-243140.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Viessmann Vitogate 300 up to 2.1.3.0 and classified as problematic. Affected by this issue is some unknown functionality of the file /cgi-bin/. The manipulation leads to direct request. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-243140. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability Threat | ||
|
2023-10-23 01:15:07 | CVE-2023-5701 (lien direct) | Une vulnérabilité a été trouvée dans VNOTEX VNOTE jusqu'à 3.17.0 et classifiée comme problématique.Cette vulnérabilité est une fonctionnalité inconnue du gestionnaire de fichiers de marque de composant.La manipulation avec l'entrée cliquez ici mène au script du site croisé.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-243139.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability has been found in vnotex vnote up to 3.17.0 and classified as problematic. Affected by this vulnerability is an unknown functionality of the component Markdown File Handler. The manipulation with the input Click here leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-243139. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability Threat | ||
|
2023-10-23 00:15:08 | CVE-2023-5698 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans le système bancaire Internet Codeeastro 1.0.Cette vulnérabilité affecte le code inconnu du fichier pages_deposit_money.php.La manipulation de l'argument compte_number avec l'entrée 421873905 -> alerte (9523) | Vulnerability Threat | ||
|
2023-10-23 00:15:08 | CVE-2023-5697 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans le système bancaire Internet Codeeastro 1.0.Cela affecte une partie inconnue du fichier pages_withdraw_money.php.La manipulation de l'argument compte_number avec l'entrée 287359614 -> alerte (1234) A vulnerability classified as problematic has been found in CodeAstro Internet Banking System 1.0. This affects an unknown part of the file pages_withdraw_money.php. The manipulation of the argument account_number with the input 287359614-->alert(1234) | Vulnerability Threat | ||
|
2023-10-22 23:15:08 | CVE-2023-5696 (lien direct) | Une vulnérabilité a été trouvée dans le système bancaire Internet Codeeastro 1.0.Il a été considéré comme problématique.Ce problème est une fonctionnalité inconnue du fichier pages_transfer_money.php.La manipulation de l'argument compte_number avec l'entrée 357146928 -> alerte (9206) | Vulnerability Threat | ||
|
2023-10-22 23:15:08 | CVE-2023-5695 (lien direct) | Une vulnérabilité a été trouvée dans le système bancaire Internet Codeeastro 1.0.Il a été déclaré problématique.Cette vulnérabilité est une fonctionnalité inconnue du fichier pages_reset_pwd.php.La manipulation de l'e-mail d'argument avec le test d'entrée% 40Example.com \\ '% 26% 25 alert (9860) conduit à la script du site croisé.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-243133 a été attribué à cette vulnérabilité.
A vulnerability was found in CodeAstro Internet Banking System 1.0. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file pages_reset_pwd.php. The manipulation of the argument email with the input testing%40example.com\'%26%25alert(9860) leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-243133 was assigned to this vulnerability. |
Vulnerability Threat | ||
|
2023-10-22 23:15:08 | CVE-2023-5694 (lien direct) | Une vulnérabilité a été trouvée dans le système bancaire Internet Codeeastro 1.0.Il a été classé comme problématique.Affecté est une fonction inconnue du fichier pages_system_settings.php.La manipulation de l'argument SYS_NAME avec l'alerte d'entrée (991) mène au script du site croisé.Il est possible de lancer l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-243132.
A vulnerability was found in CodeAstro Internet Banking System 1.0. It has been classified as problematic. Affected is an unknown function of the file pages_system_settings.php. The manipulation of the argument sys_name with the input alert(991) leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-243132. |
Vulnerability Threat | ||
|
2023-10-22 23:15:08 | CVE-2023-5693 (lien direct) | Une vulnérabilité a été trouvée dans le système bancaire Internet Codeasstro 1.0 et classé comme critique.Ce problème affecte un traitement inconnu du fichier pages_reset_pwd.php.La manipulation de l'e-mail de l'argument conduit à l'injection SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-243131.
A vulnerability was found in CodeAstro Internet Banking System 1.0 and classified as critical. This issue affects some unknown processing of the file pages_reset_pwd.php. The manipulation of the argument email leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-243131. |
Vulnerability Threat | ||
|
2023-10-22 22:15:08 | CVE-2023-46089 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Userback Lee le @ Userback | Vulnerability | ||
|
2023-10-22 22:15:08 | CVE-2023-46085 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin WPmet WP Ultimate Review | Vulnerability | ||
|
2023-10-22 22:15:08 | CVE-2023-46095 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans les liens de défilement lisse Chetan Gole [SSL] Plugin | Vulnerability | ||
|
2023-10-22 02:15:07 | CVE-2023-38735 (lien direct) | Les tableaux de bord IBM Cognos sur Cloud Pak pour les données 4.7.0 pourraient permettre à un attaquant distant de contourner les restrictions de sécurité, causées par une faille de tabnabbing inverse.Un attaquant pourrait exploiter cette vulnérabilité et rediriger une victime vers un site de phishing.IBM X-FORCE ID: 262482.
IBM Cognos Dashboards on Cloud Pak for Data 4.7.0 could allow a remote attacker to bypass security restrictions, caused by a reverse tabnabbing flaw. An attacker could exploit this vulnerability and redirect a victim to a phishing site. IBM X-Force ID: 262482. |
Vulnerability Threat Cloud | ||
|
2023-10-21 22:15:08 | CVE-2023-46078 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Plugin de numéros de série WC | Vulnerability | ||
|
2023-10-21 21:15:08 | CVE-2023-46067 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de police de fusée QWERTY23 | Vulnerability | ||
|
2023-10-21 08:15:08 | CVE-2023-4939 (lien direct) | Le plugin Salesmanago pour WordPress est vulnérable à l'injection de journaux dans les versions jusqu'à et comprenant 3.2.4.Cela est dû à l'utilisation d'un jeton d'authentification faible pour le point de terminaison de l'API / WP-JSON / Salesmanago / V1 / CallBackapiv3 qui est simplement un hachage SHA1 de l'URL du site et de l'ID client trouvé dans la source de page du site Web.Cela permet aux attaquants non authentifiés d'injecter du contenu arbitraire dans les fichiers journaux, et lorsqu'il est combiné avec une autre vulnérabilité, cela pourrait avoir des conséquences importantes.
The SALESmanago plugin for WordPress is vulnerable to Log Injection in versions up to, and including, 3.2.4. This is due to the use of a weak authentication token for the /wp-json/salesmanago/v1/callbackApiV3 API endpoint which is simply a SHA1 hash of the site URL and client ID found in the page source of the website. This makes it possible for unauthenticated attackers to inject arbitrary content into the log files, and when combined with another vulnerability this could have significant consequences. |
Vulnerability | ||
|
2023-10-21 07:15:07 | CVE-2023-46054 (lien direct) | Vulnérabilité de script de sites croisées (XSS) dans WBCE CMS V.1.6.1 et avant permet à un attaquant distant de dégénérer les privilèges via un script fabriqué au paramètre site Web_footer dans le composant admin / paramètres / sauvegarde.php.
Cross Site Scripting (XSS) vulnerability in WBCE CMS v.1.6.1 and before allows a remote attacker to escalate privileges via a crafted script to the website_footer parameter in the admin/settings/save.php component. |
Vulnerability | ||
|
2023-10-21 07:15:07 | CVE-2023-5684 (lien direct) | Une vulnérabilité a été trouvée dans la plate-forme de gestion Baichuo Smart S85F de Baichuo jusqu'en 20231012. Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du fichier /impportexport.php.La manipulation conduit à l'injection de commandement du système d'exploitation.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-243061 a été attribué à cette vulnérabilité.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Beijing Baichuo Smart S85F Management Platform up to 20231012. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /importexport.php. The manipulation leads to os command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-243061 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability Threat | ||
|
2023-10-21 05:16:07 | CVE-2023-5683 (lien direct) | Une vulnérabilité a été trouvée dans la plate-forme de gestion Baichuo Smart S85F de Baichuo jusqu'en 20231010 et classée comme critique.Ce problème affecte un traitement inconnu du fichier /sysmanage/importconf.php.La manipulation de l'argument BTN_FILE_RENEW conduit à l'injection de commande OS.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-243059.Remarque: Le vendeur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de manière.
A vulnerability was found in Beijing Baichuo Smart S85F Management Platform up to 20231010 and classified as critical. This issue affects some unknown processing of the file /sysmanage/importconf.php. The manipulation of the argument btn_file_renew leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-243059. NOTE: The vendor was contacted early about this disclosure but did not respond in any way. |
Vulnerability Threat | ||
|
2023-10-20 23:15:08 | CVE-2023-43346 (lien direct) | La vulnérabilité des scripts croisés (XSS) dans OpenSolution Quick CMS V.6.7 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre Backend - Dashboard dans le composant de menu Langues.
Cross-site scripting (XSS) vulnerability in opensolution Quick CMS v.6.7 allows a local attacker to execute arbitrary code via a crafted script to the Backend - Dashboard parameter in the Languages Menu component. |
Vulnerability | ||
|
2023-10-20 22:15:10 | CVE-2023-43355 (lien direct) | La vulnérabilité de script du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au mot de passe et à nouveau paramètres dans les paramètres Mes préférences - Ajoutez un composant utilisateur.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the password and password again parameters in the My Preferences - Add user component. |
Vulnerability | ||
|
2023-10-20 22:15:10 | CVE-2023-43356 (lien direct) | La vulnérabilité des scripts du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre Global Meatadata dans le composant de menu des paramètres globaux.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the Global Meatadata parameter in the Global Settings Menu component. |
Vulnerability | ||
|
2023-10-20 22:15:10 | CVE-2023-43357 (lien direct) | La vulnérabilité de script du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre de titre dans le composant Gérer les raccourcis.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the Title parameter in the Manage Shortcuts component. |
Vulnerability | ||
|
2023-10-20 22:15:10 | CVE-2023-43353 (lien direct) | La vulnérabilité des scripts du site croisé dans CMSMadesImple V.2.2.18 permet à un attaquant local d'exécuter du code arbitraire via un script fabriqué au paramètre supplémentaire dans le composant de menu d'actualités.
Cross Site Scripting vulnerability in CMSmadesimple v.2.2.18 allows a local attacker to execute arbitrary code via a crafted script to the extra parameter in the news menu component. |
Vulnerability |
To see everything:
Our RSS (filtrered)
