What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-10-17 10:15:09 | CVE-2023-44310 (lien direct) | Vulnérabilité de script de script (XSS) entre le site transversal dans Page Menu Liferay Portal 7.3.6 à 7.4.3.78, et Liveray DXP 7.3 Fix Pack 1 via la mise à jour 23, et 7.4 avant la mise à jour 79 permet aux attaquants distants d'injecter un script Web arbitraire ou un HTML via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via via la mise à jour 79Une charge utile fabriquée injectée dans le champ de texte "Nom" de Page \\.
Stored cross-site scripting (XSS) vulnerability in Page Tree menu Liferay Portal 7.3.6 through 7.4.3.78, and Liferay DXP 7.3 fix pack 1 through update 23, and 7.4 before update 79 allows remote attackers to inject arbitrary web script or HTML via a crafted payload injected into page\'s "Name" text field. |
Vulnerability | ||
|
2023-10-17 10:15:09 | CVE-2023-44311 (lien direct) | Les vulnérabilités de script de script inter-sites transversales réfléchies (XSS) dans le plugin pour la classe OAuth 2.0 module \\ de OAuth2ProviderApplicationRerect dans LifeRay Portal 7.4.3.41 à 7.4.3.30script ou html via le paramètre (1) du code, ou (2) d'erreur.Ce problème est causé par une correction incomplète dans CVE-2023-33941.
Multiple reflected cross-site scripting (XSS) vulnerabilities in the Plugin for OAuth 2.0 module\'s OAuth2ProviderApplicationRedirect class in Liferay Portal 7.4.3.41 through 7.4.3.89, and Liferay DXP 7.4 update 41 through update 89 allow remote attackers to inject arbitrary web script or HTML via the (1) code, or (2) error parameter. This issue is caused by an incomplete fix in CVE-2023-33941. |
Vulnerability | ||
|
2023-10-17 09:15:10 | CVE-2023-44309 (lien direct) | Les vulnérabilités de script de script inter-sites stockées multiples (XSS) dans les composants de fragment dans Liferay Portal 7.4.2 à 7.4.3.53, et Liveray DXP 7.4 Avant la mise à jour 54-HTML Champ d'un actif source lié.
Multiple stored cross-site scripting (XSS) vulnerabilities in the fragment components in Liferay Portal 7.4.2 through 7.4.3.53, and Liferay DXP 7.4 before update 54 allow remote attackers to inject arbitrary web script or HTML via a crafted payload injected into any non-HTML field of a linked source asset. |
Vulnerability | ||
|
2023-10-17 09:15:10 | CVE-2023-42629 (lien direct) | Vulnérabilité des scripts inter-sites stockés (XSS) dans la page Gérer le vocabulaire dans Liferay Portal 7.4.2 à 7.4.3.87, et Liferay DXP 7.4 Avant la mise à jour 88, les attaquants distants injectent un script Web arbitraire ou HTML via une charge utile conçue injectée dans un vocabulaire\\ 's \' description \\ 'champ de texte.
Stored cross-site scripting (XSS) vulnerability in the manage vocabulary page in Liferay Portal 7.4.2 through 7.4.3.87, and Liferay DXP 7.4 before update 88 allows remote attackers to inject arbitrary web script or HTML via a crafted payload injected into a Vocabulary\'s \'description\' text field. |
Vulnerability | ||
|
2023-10-17 09:15:09 | CVE-2023-24385 (lien direct) | Auth.(Auteur +) Vulnérabilité des scripts inter-sites (XSS) dans le plugin Assistant de bibliothèque de médias David Lingren Plugin | Vulnerability | ||
|
2023-10-17 08:15:09 | CVE-2023-42497 (lien direct) | Vulnérabilité réfléchie des scripts croisés (XSS) sur la page d'exportation pour la traduction dans Liveray Portal 7.4.3.4 à 7.4.3.85, et Liveray DXP 7.4 Avant la mise à jour 86, les attaquants distants injectent un script Web arbitraire ou un html via le `` _COM_CILERAY_TRANSLATION_WEB_INTERNAL_PORTLET_TRANSLATIONPORTLET_REDERDER` '
Reflected cross-site scripting (XSS) vulnerability on the Export for Translation page in Liferay Portal 7.4.3.4 through 7.4.3.85, and Liferay DXP 7.4 before update 86 allows remote attackers to inject arbitrary web script or HTML via the `_com_liferay_translation_web_internal_portlet_TranslationPortlet_redirect` parameter. |
Vulnerability | ||
|
2023-10-17 07:15:09 | CVE-2023-41752 (lien direct) | Exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée dans Apache Traffic Server. Ce problème affecte le serveur de trafic Apache: de 8.0.0 à 8.1.8, du 9.0.0 à 9.2.2.
Il est recommandé aux utilisateurs de passer à la version 8.1.9 ou 9.2.3, ce qui résout le problème.
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Traffic Server.This issue affects Apache Traffic Server: from 8.0.0 through 8.1.8, from 9.0.0 through 9.2.2. Users are recommended to upgrade to version 8.1.9 or 9.2.3, which fixes the issue. |
Vulnerability | ||
|
2023-10-17 07:15:09 | CVE-2023-39456 (lien direct) | Vulnérabilité de validation d'entrée incorrecte dans le serveur de trafic Apache avec les trames HTTP / 2 malformées. Ce problème affecte le serveur de trafic Apache: de 9.0.0 à 9.2.2.
Il est recommandé aux utilisateurs de passer à la version 9.2.3, ce qui résout le problème.
Improper Input Validation vulnerability in Apache Traffic Server with malformed HTTP/2 frames.This issue affects Apache Traffic Server: from 9.0.0 through 9.2.2. Users are recommended to upgrade to version 9.2.3, which fixes the issue. |
Vulnerability | ||
|
2023-10-17 05:15:50 | CVE-2023-45358 (lien direct) | La plate-forme Archer 6.x avant 6.13 P2 HF2 (6.13.0.2.2) contient une vulnérabilité de script inter-site (XSS) stockée.Un utilisateur d'Archer malveillant authentifié à distance pourrait potentiellement exploiter cette vulnérabilité pour stocker le code HTML ou JavaScript malveillant dans un magasin de données d'application de confiance.Lorsque les utilisateurs des victimes accèdent au magasin de données via leurs navigateurs, le code malveillant est exécuté par le navigateur Web dans le contexte de l'application vulnérable.6.14 (6.14.0) est également une libération fixe.
Archer Platform 6.x before 6.13 P2 HF2 (6.13.0.2.2) contains a stored cross-site scripting (XSS) vulnerability. A remote authenticated malicious Archer user could potentially exploit this vulnerability to store malicious HTML or JavaScript code in a trusted application data store. When victim users access the data store through their browsers, the malicious code gets executed by the web browser in the context of the vulnerable application. 6.14 (6.14.0) is also a fixed release. |
Vulnerability | ||
|
2023-10-17 04:15:11 | CVE-2023-34207 (lien direct) | Téléchargement sans restriction de fichiers avec une vulnérabilité de type dangereux dans la fonction de création de modèle dans Easyuse Mailhunter Ultimate 2023 et antérieure permet aux utilisateurs authentifiés à distance d'effectuer des commandes système arbitraires avec & acirc; & euro; & tilde; nt autorité \ System & acirc; & euro; & tilde;privilège via une archive zip fabriquée.
Unrestricted upload of file with dangerous type vulnerability in create template function in EasyUse MailHunter Ultimate 2023 and earlier allows remote authenticated users to perform arbitrary system commands with ‘NT Authority\SYSTEM‘ privilege via a crafted ZIP archive. |
Vulnerability | ||
|
2023-10-17 02:15:10 | CVE-2022-22386 (lien direct) | IBM Security Vérifier le privilège sur site 11.Un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles en utilisant l'homme dans les techniques du milieu.IBM X-FORCE ID: 221963.
IBM Security Verify Privilege On-Premises 11.5 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. IBM X-Force ID: 221963. |
Vulnerability | ||
|
2023-10-17 01:15:09 | CVE-2022-22377 (lien direct) | IBM Security Vérifier le privilège sur site 11.Un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles en utilisant l'homme dans les techniques du milieu.IBM X-FORCE ID: 221827.
IBM Security Verify Privilege On-Premises 11.5 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. IBM X-Force ID: 221827. |
Vulnerability | ||
|
2023-10-17 00:15:11 | CVE-2023-4215 (lien direct) | Advantech WebAccess version 9.1.3 contient une exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée qui pourrait fuir les informations d'identification des utilisateurs.
Advantech WebAccess version 9.1.3 contains an exposure of sensitive information to an unauthorized actor vulnerability that could leak user credentials. |
Vulnerability | ||
|
2023-10-17 00:15:11 | CVE-2023-45659 (lien direct) | Engelsystem est un système de planification de quart pour les événements du chaos.Si un mot de passe des utilisateurs est compromis et qu'un attaquant a accédé à un compte utilisateur \\ ', c'est-à-dire connecté et obtenu une session, une session d'attaquants \' n'est pas résiliée si le mot de passe du compte utilisateurs \\ 'est réinitialisé.Cette vulnérabilité a été fixée dans le commit `DBB089315FF3D`.Il est conseillé aux utilisateurs de mettre à jour leurs installations.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Engelsystem is a shift planning system for chaos events. If a users\' password is compromised and an attacker gained access to a users\' account, i.e., logged in and obtained a session, an attackers\' session is not terminated if the users\' account password is reset. This vulnerability has been fixed in the commit `dbb089315ff3d`. Users are advised to update their installations. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-10-17 00:15:11 | CVE-2023-45152 (lien direct) | Engelsystem est un système de planification de quart pour les événements du chaos.Un SSRF aveugle dans la fonctionnalité "Importer Schedule" permet d'effectuer une analyse de port par rapport à l'environnement local.Cette vulnérabilité a été fixée dans le commit EE7D30B33.Si un correctif ne peut pas être déployé, les opérateurs doivent s'assurer qu'aucun service HTTP (s) n'écoute uniquement sur localhost et / ou les systèmes accessibles à partir de l'hôte exécutant le logiciel Engelsystem.Si ces services sont nécessaires, ils devraient utiliser une authentification supplémentaire.
Engelsystem is a shift planning system for chaos events. A Blind SSRF in the "Import schedule" functionality makes it possible to perform a port scan against the local environment. This vulnerability has been fixed in commit ee7d30b33. If a patch cannot be deployed, operators should ensure that no HTTP(s) services listen on localhost and/or systems only reachable from the host running the engelsystem software. If such services are necessary, they should utilize additional authentication. |
Vulnerability | ||
|
2023-10-17 00:15:10 | CVE-2012-10016 (lien direct) | Une vulnérabilité classée comme problématique a été trouvée dans le plugin de code-button-short-short de Halulu 1.0 sur WordPress.Affecté est une fonction inconnue du fichier simple-download-button_dl.php du gestionnaire de téléchargement des composants.La manipulation du fichier d'argument conduit à la divulgation d'informations.Il est possible de lancer l'attaque à distance.La mise à niveau vers la version 1.1 est en mesure de résoudre ce problème.Le patch est identifié comme E648A8706818297CF02A665AE0BAE1C069DEA5F1.Il est recommandé de mettre à niveau le composant affecté.VDB-242190 est l'identifiant attribué à cette vulnérabilité.
A vulnerability classified as problematic has been found in Halulu simple-download-button-shortcode Plugin 1.0 on WordPress. Affected is an unknown function of the file simple-download-button_dl.php of the component Download Handler. The manipulation of the argument file leads to information disclosure. It is possible to launch the attack remotely. Upgrading to version 1.1 is able to address this issue. The patch is identified as e648a8706818297cf02a665ae0bae1c069dea5f1. It is recommended to upgrade the affected component. VDB-242190 is the identifier assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-17 00:15:10 | CVE-2011-10004 (lien direct) | Une vulnérabilité a été trouvée dans le plugin d'accès à 1,1,7 sur WordPress.Il a été évalué comme critique.Ce problème affecte un traitement inconnu du fichier uploadimage.php.La manipulation conduit à un téléchargement sans restriction.L'attaque peut être initiée à distance.La mise à niveau vers la version 1.1.8 est en mesure de résoudre ce problème.L'identifiant du patch est E3FF616DC08D3AADFF9253F1085E13F677D0C676.Il est recommandé de mettre à niveau le composant affecté.L'identifiant VDB-242189 a été attribué à cette vulnérabilité.
A vulnerability was found in reciply Plugin up to 1.1.7 on WordPress. It has been rated as critical. This issue affects some unknown processing of the file uploadImage.php. The manipulation leads to unrestricted upload. The attack may be initiated remotely. Upgrading to version 1.1.8 is able to address this issue. The identifier of the patch is e3ff616dc08d3aadff9253f1085e13f677d0c676. It is recommended to upgrade the affected component. The identifier VDB-242189 was assigned to this vulnerability. |
Vulnerability | ||
|
2023-10-16 21:15:11 | CVE-2023-45144 (lien direct) | com.xwiki.Identity-oAuth: Identity-oAuth-UI est un package pour aider à construire des fournisseurs d'identité et de service basés sur les autorisations d'Oauth.Lorsqu'un utilisateur se connecte via la méthode OAuth, les paramètres IdentityOAuth envoyés dans la demande GET sont vulnérables au script de site croisé (XSS) et à l'injection de syntaxe Xwiki.Cela permet l'exécution du code distant via la macro Groovy et affecte ainsi la confidentialité, l'intégrité et la disponibilité de toute l'installation de Xwiki.Le problème a été résolu dans l'identité OAuth version 1.6.Il n'y a pas de solution de contournement connue pour cette vulnérabilité et les utilisateurs sont invités à mettre à niveau.
com.xwiki.identity-oauth:identity-oauth-ui is a package to aid in building identity and service providers based on OAuth authorizations. When a user logs in via the OAuth method, the identityOAuth parameters sent in the GET request is vulnerable to cross site scripting (XSS) and XWiki syntax injection. This allows remote code execution via the groovy macro and thus affects the confidentiality, integrity and availability of the whole XWiki installation. The issue has been fixed in Identity OAuth version 1.6. There are no known workarounds for this vulnerability and users are advised to upgrade. |
Vulnerability | ||
|
2023-10-16 21:15:11 | CVE-2023-45542 (lien direct) | La vulnérabilité des scripts du site croisé dans Moosocial 3.1.8 permet à un attaquant distant d'obtenir des informations sensibles via un script fabriqué au paramètre Q dans la fonction de recherche.
Cross Site Scripting vulnerability in mooSocial 3.1.8 allows a remote attacker to obtain sensitive information via a crafted script to the q parameter in the Search function. |
Vulnerability | ||
|
2023-10-16 21:15:11 | CVE-2023-45147 (lien direct) | Le discours est une plate-forme communautaire open source.Dans les versions affectées, tout utilisateur peut créer un sujet et ajouter des champs personnalisés arbitraires à un sujet.La gravité de cette vulnérabilité dépend de ce que les plugins sont installés et de la façon dont les plugins utilisent des champs personnalisés de la rubrique.Pour une installation de discours par défaut avec les plugins par défaut, cette vulnérabilité n'a aucun impact.Le problème a été corrigé dans la dernière version du discours.Il est conseillé aux utilisateurs de mettre à jour la version 3.1.1 s'ils sont sur la branche stable ou 3.2.0.beta2 s'ils sont sur la succursale bêta.Les utilisateurs incapables de mettre à niveau doivent désactiver tous les plugins qui accèdent aux champs personnalisés du sujet.
Discourse is an open source community platform. In affected versions any user can create a topic and add arbitrary custom fields to a topic. The severity of this vulnerability depends on what plugins are installed and how the plugins uses topic custom fields. For a default Discourse installation with the default plugins, this vulnerability has no impact. The problem has been patched in the latest version of Discourse. Users are advised to update to version 3.1.1 if they are on the stable branch or 3.2.0.beta2 if they are on the beta branch. Users unable to upgrade should disable any plugins that access topic custom fields. |
Vulnerability | ||
|
2023-10-16 21:15:11 | CVE-2023-45128 (lien direct) | La fibre est un cadre Web inspiré express écrit dans Go.Une vulnérabilité de contrefaçon de demande croisée (CSRF) a été identifiée dans l'application, qui permet à un attaquant d'injecter des valeurs arbitraires et de forger des demandes malveillantes au nom d'un utilisateur.Cette vulnérabilité peut permettre à un attaquant d'injecter des valeurs arbitraires sans aucune authentification, ou effectuer diverses actions malveillantes au nom d'un utilisateur authentifié, compromettant potentiellement la sécurité et l'intégrité de l'application.La vulnérabilité est causée par une mauvaise validation et l'application des jetons CSRF dans l'application.Ce problème a été résolu dans la version 2.50.0 et les utilisateurs sont invités à mettre à niveau.Les utilisateurs doivent prendre des mesures de sécurité supplémentaires telles que CAPTCHAS ou Authentification à deux facteurs (2FA) et définir des cookies de session avec Samesite = lax ou Samesite = Secure, et les attributs sécurisés et httponly en tant que mesures de défense en profondeur.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
Fiber is an express inspired web framework written in Go. A Cross-Site Request Forgery (CSRF) vulnerability has been identified in the application, which allows an attacker to inject arbitrary values and forge malicious requests on behalf of a user. This vulnerability can allow an attacker to inject arbitrary values without any authentication, or perform various malicious actions on behalf of an authenticated user, potentially compromising the security and integrity of the application. The vulnerability is caused by improper validation and enforcement of CSRF tokens within the application. This issue has been addressed in version 2.50.0 and users are advised to upgrade. Users should take additional security measures like captchas or Two-Factor Authentication (2FA) and set Session cookies with SameSite=Lax or SameSite=Secure, and the Secure and HttpOnly attributes as defense in depth measures. There are no known workarounds for this vulnerability. |
Vulnerability | ||
|
2023-10-16 21:15:11 | CVE-2023-45141 (lien direct) | La fibre est un cadre Web inspiré express écrit dans Go.Une vulnérabilité de contrefaçon de demande croisée (CSRF) a été identifiée dans l'application, qui permet à un attaquant d'obtenir des jetons et de forger des demandes malveillantes au nom d'un utilisateur.Cela peut conduire à des actions non autorisées prises au nom de l'utilisateur, compromettant potentiellement la sécurité et l'intégrité de l'application.La vulnérabilité est causée par une mauvaise validation et l'application des jetons CSRF dans l'application.Cette vulnérabilité a été traitée dans la version 2.50.0 et les utilisateurs sont invités à mettre à niveau.Les utilisateurs doivent prendre des mesures de sécurité supplémentaires telles que CAPTCHAS ou Authentification à deux facteurs (2FA) et définir des cookies de session avec Samesite = lax ou Samesite = Secure, et les attributs sécurisés et httponly.
Fiber is an express inspired web framework written in Go. A Cross-Site Request Forgery (CSRF) vulnerability has been identified in the application, which allows an attacker to obtain tokens and forge malicious requests on behalf of a user. This can lead to unauthorized actions being taken on the user\'s behalf, potentially compromising the security and integrity of the application. The vulnerability is caused by improper validation and enforcement of CSRF tokens within the application. This vulnerability has been addressed in version 2.50.0 and users are advised to upgrade. Users should take additional security measures like captchas or Two-Factor Authentication (2FA) and set Session cookies with SameSite=Lax or SameSite=Secure, and the Secure and HttpOnly attributes. |
Vulnerability | ||
|
2023-10-16 21:15:10 | CVE-2023-40851 (lien direct) | Vulnérabilité des scripts de site croisé (XSS) dans l'enregistrement des utilisateurs PHPGurukul & AMP;Le système de connexion et de gestion des utilisateurs avec le panneau d'administration 3.0 permet aux attaquants d'exécuter un code arbitraire via les champs FNAME, LNAME, EMAIL et Contact de la page d'enregistrement de l'utilisateur.
Cross Site Scripting (XSS) vulnerability in Phpgurukul User Registration & Login and User Management System With admin panel 3.0 allows attackers to run arbitrary code via fname, lname, email, and contact fields of the user registration page. |
Vulnerability | ||
|
2023-10-16 21:15:10 | CVE-2023-40852 (lien direct) | Vulnérabilité de l'injection SQL dans l'enregistrement des utilisateurs PHPGurukul & AMP;Le système de connexion et de gestion des utilisateurs avec le panneau d'administration 3.0 permet aux attaquants d'obtenir des informations sensibles via une chaîne fabriquée dans le champ de nom d'utilisateur d'administration sur la page de connexion admin.
SQL Injection vulnerability in Phpgurukul User Registration & Login and User Management System With admin panel 3.0 allows attackers to obtain sensitive information via crafted string in the admin user name field on the admin log in page. |
Vulnerability | ||
|
2023-10-16 20:15:15 | CVE-2023-43118 (lien direct) | La vulnérabilité de la contrefaçon de demande de site croisé (CSRF) dans l'application Chalet dans Extreme Networks Switch Engine (EXOS) avant 32.5.1.5, fixé en 31.7.2 et 32.5.1.5 permet aux attaquants d'exécuter un code arbitraire et de provoquer d'autres impacts non spécifiés via l'API / JSONRPC.
Cross Site Request Forgery (CSRF) vulnerability in Chalet application in Extreme Networks Switch Engine (EXOS) before 32.5.1.5, fixed in 31.7.2 and 32.5.1.5 allows attackers to run arbitrary code and cause other unspecified impacts via /jsonrpc API. |
Vulnerability | ||
|
2023-10-16 20:15:15 | CVE-2023-43121 (lien direct) | Une vulnérabilité de traversée de répertoire découverte dans l'application Chalet dans Extreme Networks Switch Engine (EXOS) avant 32.5.1.5, avant 22.7 et avant le 31.7.2 permet aux attaquants de lire des fichiers arbitraires.
A Directory Traversal vulnerability discovered in Chalet application in Extreme Networks Switch Engine (EXOS) before 32.5.1.5, before 22.7, and before 31.7.2 allows attackers to read arbitrary files. |
Vulnerability | ||
|
2023-10-16 18:15:16 | CVE-2023-45985 (lien direct) | TOTOLINK X5000R V9.1.0U.6118_B20201102 et Totolink A7000R V9.1.0U.6115_B20201022 ont été découverts contenant un débordement de pile dans la fonction SetparentalRules.Cette vulnérabilité permet aux attaquants de provoquer un déni de service (DOS) via une demande de poste artisanale.
TOTOLINK X5000R V9.1.0u.6118_B20201102 and TOTOLINK A7000R V9.1.0u.6115_B20201022 were discovered to contain a stack overflow in the function setParentalRules. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted POST request. |
Vulnerability | ||
|
2023-10-16 17:15:10 | CVE-2023-45687 (lien direct) | Une vulnérabilité de fixation de session dans South River Technologies \\ 'Titan MFT et Titan SFTP SERVES sur Linux et Windows permet à un attaquant de contourner l'authentification du serveur \\ s'il peut inciter un administrateur à autorisation d'un ID de session de son choix
A session fixation vulnerability in South River Technologies\' Titan MFT and Titan SFTP servers on Linux and Windows allows an attacker to bypass the server\'s authentication if they can trick an administrator into authorizating a session id of their choosing |
Vulnerability | ||
|
2023-10-16 16:15:10 | CVE-2023-20198 (lien direct) | Cisco est conscient de l'exploitation active d'une vulnérabilité précédemment inconnue dans la fonctionnalité Web de l'interface utilisateur du logiciel Cisco iOS XE lorsqu'il est exposé à Internet ou à des réseaux non fiables.Cette vulnérabilité permet à un attaquant éloigné et non authentifié de créer un compte sur un système affecté avec un accès de privilège de niveau 15.L'attaquant peut ensuite utiliser ce compte pour prendre le contrôle du système affecté.
Pour les étapes pour fermer le vecteur d'attaque pour cette vulnérabilité, voir la section des recommandations de cette avis et acirc; & nbsp;
Cisco fournira des mises à jour sur l'état de cette enquête et lorsqu'un correctif logiciel est disponible.
Cisco is aware of active exploitation of a previously unknown vulnerability in the web UI feature of Cisco IOS XE Software when exposed to the internet or to untrusted networks. This vulnerability allows a remote, unauthenticated attacker to create an account on an affected system with privilege level 15 access. The attacker can then use that account to gain control of the affected system. For steps to close the attack vector for this vulnerability, see the Recommendations section of this advisory Cisco will provide updates on the status of this investigation and when a software patch is available. |
Vulnerability | ||
|
2023-10-16 15:15:17 | CVE-2023-46087 (lien direct) | Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans Mahlamusa qui a frappé la page & acirc; & euro; & ldquo;Hit Counter Plugin | Vulnerability | ||
|
2023-10-16 12:15:10 | CVE-2023-44987 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le logiciel de rendez-vous en temps opportun Plugin de bouton de réservation en temps opportun | Vulnerability | ||
|
2023-10-16 12:15:10 | CVE-2023-46066 (lien direct) | Auth.(éditeur +) Vulnérabilité de script inter-site stockée (XSS) dans CodeDrafty MediaBay & acirc; & euro; & ldquo;Plugin de dossiers de bibliothèque de médias | Vulnerability | ||
|
2023-10-16 11:15:45 | CVE-2023-45831 (lien direct) | Vulnérabilité de la contrefaçon de demande de site transversal (CSRF) en pixellatif, Mohsin Rafique Amp WP & acirc; & euro; & ldquo;Google AMP pour le plugin WordPress | Vulnerability | ||
|
2023-10-16 11:15:45 | CVE-2023-45753 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Gilles Dumas qui modèle Plugin de fichier | Vulnerability | ||
|
2023-10-16 11:15:45 | CVE-2023-45763 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin taggbox | Vulnerability | ||
|
2023-10-16 11:15:45 | CVE-2023-45836 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Xydac Ultimate Taxonomy Manager | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-45748 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans les formulaires MailMunch MailChimp par plugin MailMunch | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-44986 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le chariot de chariot abandonné de Tyche pour le plugin WooCommerce | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-45752 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de galerie de poteau de qualité 10 | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-44985 (lien direct) | Auth.(Contribute +) Vulnérabilité des scripts inter-sites stockés (XSS) dans le plugin CyTech BudDymeet | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-45749 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) Dans Alexey Golubnichenko AGP FONT PLUGIN COLLECTION AMPRESSIONNANT | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-44229 (lien direct) | Auth.(Admin +) Vulnérabilité des scripts inter-sites stockés (XSS) dans Gopi Ramasamy Tiny Carousel Horizontal Clider Plugin | Vulnerability | ||
|
2023-10-16 11:15:44 | CVE-2023-44984 (lien direct) | Auth.(Contributeur +) Vulnérabilité des scripts inter-sites (XSS) dans Robin Wilson BBP Style Pack Plugin | Vulnerability | ||
|
2023-10-16 10:15:12 | CVE-2023-4457 (lien direct) | Grafana est une plate-forme open source pour la surveillance et l'observabilité.
Le plugin de source de données Google Sheets pour Grafana, les versions 0.9.0 à 1.2.2 sont vulnérables à une vulnérabilité de divulgation d'informations.
Le plugin n'a pas correctement désinfecté les messages d'erreur, ce qui en fait potentiellement exposer la touche Google Sheet qui est configurée pour la source de données.
Cette vulnérabilité a été fixée dans la version 1.2.2.
Grafana is an open-source platform for monitoring and observability. The Google Sheets data source plugin for Grafana, versions 0.9.0 to 1.2.2 are vulnerable to an information disclosure vulnerability. The plugin did not properly sanitize error messages, making it potentially expose the Google Sheet API-key that is configured for the data source. This vulnerability was fixed in version 1.2.2. |
Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-45642 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Hassan Ali Snap Pixel | Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-45647 (lien direct) | Vulnérabilité de la demande de demande de site transversal (CSRF) dans les formulaires de contact constant de MailMunch par le plugin MailMunch | Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-45641 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Caret Inc. Caret Country Access Limit Plugin | Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-3991 (lien direct) | Une vulnérabilité d'injection de commande OS existe dans la fonctionnalité httpd iperfrun.cgi de Freshtomato 2023.3.Une demande HTTP spécialement conçue peut conduire à une exécution arbitraire de commande.Un attaquant peut envoyer une demande HTTP pour déclencher cette vulnérabilité.
An OS command injection vulnerability exists in the httpd iperfrun.cgi functionality of FreshTomato 2023.3. A specially crafted HTTP request can lead to arbitrary command execution. An attacker can send an HTTP request to trigger this vulnerability. |
Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-45645 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin INFOD74 WP Open Street Map | Vulnerability | ||
|
2023-10-16 10:15:11 | CVE-2023-45643 (lien direct) | Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Anurag Deshmukh CPT Plugin de générateur Shortcode | Vulnerability |
To see everything:
Our RSS (filtrered)
