SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-10-16 10:15:11	CVE-2023-45642 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Hassan Ali Snap Pixel	Vulnerability
	2023-10-16 09:15:11	CVE-2023-4822 (lien direct)	La vulnérabilité a un impact sur les instances avec plusieurs organisations et permet à un utilisateur avec des autorisations d'administration d'organisation dans une organisation de modifier les autorisations associées au spectateur de l'organisation, au rédacteur en chef de l'organisation et aux rôles d'administration de l'organisation dans toutes les organisations. Il permet également à un administrateur d'organisation d'attribuer ou de révoquer toute autorisation qu'elle a à tout utilisateur à l'échelle mondiale. Cela signifie que toute organisation administrative peut élever ses propres autorisations dans toute organisation dont elle est déjà membre, ou élever ou restreindre les autorisations de tout autre utilisateur. La vulnérabilité ne permet pas à un utilisateur de devenir membre d'une organisation dont il n'est pas déjà membre, ou d'ajouter d'autres utilisateurs à une organisation dont l'utilisateur actuel n'est pas membre. The vulnerability impacts instances with several organizations, and allows a user with Organization Admin permissions in one organization to change the permissions associated with Organization Viewer, Organization Editor and Organization Admin roles in all organizations. It also allows an Organization Admin to assign or revoke any permissions that they have to any user globally. This means that any Organization Admin can elevate their own permissions in any organization that they are already a member of, or elevate or restrict the permissions of any other user. The vulnerability does not allow a user to become a member of an organization that they are not already a member of, or to add any other users to an organization that the current user is not a member of.	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45650 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin FLA-Shop.com HTML5 MAPS	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45653 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans la liste de lecture vidéo Galaxy Webblinks pour le plugin YouTube	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45654 (lien direct)	Vulnérabilité de la contre-site de la demande de site transversal (CSRF) dans Pixelgrade Commentaires Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45656 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Kevin Weber Lazy Load for Videos Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45655 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Pixelgrade PixFields Plugin	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45651 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de pièces jointes Marco Milesi WP	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45757 (lien direct)	La vulnérabilité de sécurité dans Apache BRPC 1.6.0, Lien de téléchargement: https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. Si vous utilisez une ancienne version de BRPC et difficile à mettre à niveau, vous pouvez appliquer ce patch: & acirc; & nbsp;https://github.com/apache/brpc/pull/2411 3. Désactiver la fonction RPCZ Security vulnerability in Apache bRPC 1.6.0, download link: https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. If you are using an old version of bRPC and hard to upgrade, you can apply this patch:Â https://github.com/apache/brpc/pull/2411 3. disable rpcz feature	Vulnerability
	2023-10-16 09:15:11	CVE-2023-45638 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans Eupago Eupago Gateway pour le plugin WooCommerce	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45629 (lien direct)	Vulnérabilité de contrefaçon de demande de site croisé (CSRF) dans WPDevart Gallery & acirc; & euro; & ldquo;Image et galerie vidéo avec plugin miniatures	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45605 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin de statistiques d'alimentation Christopher Finke	Vulnerability
	2023-10-16 09:15:10	CVE-2023-43667 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans Apache Inlong. Ce problème affecte Apache Inlong: de 1.4.0 à 1.8.0, l'attaquant peut créer des ancêtres ou de faux records, réalisant des records, réalisant 1.4.0 à 1.8.0c'est plus difficile à auditer et tracer des activités malveillantes. & acirc; & nbsp; Les utilisateurs sont invités à passer à Apache Inlong \\ 'S 1.8.0 ou Cherry-Pick [1] pour le résoudre. [1] https://github.com/apache/inlong/pull/8628 Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Apache InLong.This issue affects Apache InLong: from 1.4.0 through 1.8.0, the attacker can create misleading or false records, making it harder to audit and trace malicious activities.Â Users are advised to upgrade to Apache InLong\'s 1.8.0 or cherry-pick [1] to solve it. [1] https://github.com/apache/inlong/pull/8628	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45273 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Calendrier Matt McKenny Stout Google	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45606 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans le plugin Lasso Simple URL	Vulnerability
	2023-10-16 09:15:10	CVE-2023-45274 (lien direct)	Vulnérabilité de contrefaçon de demande de site transversal (CSRF) dans SendPulse SendPulse Free Web Push Plugin	Vulnerability
	2023-10-16 09:15:10	CVE-2023-43668 (lien direct)	Autorisation contourner la vulnérabilité clé contrôlée par l'utilisateur dans Apache Inlong. Ce problème affecte Apache Inlong: de 1.4.0 à 1.8.0, & acirc; & nbsp; Certaines vérifications de paramètres sensibles seront contournées, comme "AutoDeserizaliser", "AutorloadLocalinfile" .... & & Acirc; & nbsp; & acirc; & nbsp; Il est conseillé aux utilisateurs de passer à Apache Inlong \\ 'S 1.9.0 ou Cherry-Pick [1] pour le résoudre. [1] & acirc; & nbsp;https://github.com/apache/inlong/pull/8604 Authorization Bypass Through User-Controlled Key vulnerability in Apache InLong.This issue affects Apache InLong: from 1.4.0 through 1.8.0,Â some sensitive params checks will be bypassed, like "autoDeserizalize","allowLoadLocalInfile".... .Â Â Users are advised to upgrade to Apache InLong\'s 1.9.0 or cherry-pick [1] to solve it. [1]Â https://github.com/apache/inlong/pull/8604	Vulnerability
	2023-10-16 09:15:10	CVE-2023-43666 (lien direct)	Vérification insuffisante de la vulnérabilité de l'authenticité des données dans Apache Inlong. Ce problème affecte Apache Inlong: de 1.4.0 à 1.8.0, & acirc; & nbsp; L'utilisateur général peut afficher toutes les données de l'utilisateur comme le compte d'administration. Il est conseillé aux utilisateurs de passer à Apache Inlong \\ 'S 1.9.0 ou Cherry-Pick [1] pour le résoudre. [1] & acirc; & nbsp;https://github.com/apache/inlong/pull/8623 Insufficient Verification of Data Authenticity vulnerability in Apache InLong.This issue affects Apache InLong: from 1.4.0 through 1.8.0,Â General user can view all user data like Admin account. Users are advised to upgrade to Apache InLong\'s 1.9.0 or cherry-pick [1] to solve it. [1]Â https://github.com/apache/inlong/pull/8623	Vulnerability
	2023-10-16 08:15:09	CVE-2023-45158 (lien direct)	Une vulnérabilité d'injection de commande OS existe dans web2py 2.24.1 et plus tôt.Lorsque le produit est configuré pour utiliser NotifySendHandler pour la journalisation (pas la configuration par défaut), une demande Web fabriquée peut exécuter une commande OS arbitraire sur le serveur Web à l'aide du produit. An OS command injection vulnerability exists in web2py 2.24.1 and earlier. When the product is configured to use notifySendHandler for logging (not the default configuration), a crafted web request may execute an arbitrary OS command on the web server using the product.	Vulnerability
	2023-10-16 07:15:09	CVE-2023-45579 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre IP / Type de la fonction jingx.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the ip/type parameter of the jingx.asp function.	Vulnerability
	2023-10-16 07:15:09	CVE-2023-45580 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre sauvage / mx de la fonction ddns.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the wild/mx parameter of the ddns.asp function.	Vulnerability
	2023-10-16 07:15:08	CVE-2023-45578 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre PAP_EN / CHAP_EN de la fonction PPPOE_BASE.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the pap_en/chap_en parameter of the pppoe_base.asp function.	Vulnerability
	2023-10-16 07:15:08	CVE-2023-45576 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre retira_ext_proto / disover_ext_port de la fonction upnp_ctrl.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the remove_ext_proto/remove_ext_port parameter of the upnp_ctrl.asp function.	Vulnerability
	2023-10-16 06:15:12	CVE-2023-45572 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre FN de la fonction tgfile.htm. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the fn parameter of the tgfile.htm function.	Vulnerability
	2023-10-16 06:15:12	CVE-2023-45575 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, Di-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre IP de la fonction ip_position.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the ip parameter of the ip_position.asp function.	Vulnerability
	2023-10-16 06:15:12	CVE-2023-45574 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre FN de la fonction file.data. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the fn parameter of the file.data function.	Vulnerability
	2023-10-16 06:15:12	CVE-2023-45573 (lien direct)	Vulnérabilité de débordement de tampon dans Di-7003GV2.D1 V.23.08.25d1 et avant, Di-7100G + V2.D1 V.23.08.23d1 et avant, DI-7100GV2.D1 V.23.08.23d1, di-7200G + V2.D1v.23.08.23d1 et avant, di-7200gv2.e1 v.23.08.23e1 et avant, di-7300g + v2.d1 v.23.08.23d1, et di-7400g + v2.d1 v.23.08.23d1 et avant le permis.Un attaquant distant pour exécuter du code arbitraire via le paramètre sauvage / mx de la fonction ddns.asp. Buffer Overflow vulnerability in DI-7003GV2.D1 v.23.08.25D1 and before, DI-7100G+V2.D1 v.23.08.23D1 and before, DI-7100GV2.D1 v.23.08.23D1, DI-7200G+V2.D1 v.23.08.23D1 and before, DI-7200GV2.E1 v.23.08.23E1 and before, DI-7300G+V2.D1 v.23.08.23D1, and DI-7400G+V2.D1 v.23.08.23D1 and before allows a remote attacker to execute arbitrary code via the wild/mx parameter of the ddns.asp function.	Vulnerability
	2023-10-16 06:15:11	CVE-2023-44808 (lien direct)	D-Link Dir-820L 1.05B03 a une vulnérabilité de débordement de pile dans la fonction Sub_4507CC. D-Link DIR-820L 1.05B03 has a stack overflow vulnerability in the sub_4507CC function.	Vulnerability
	2023-10-16 00:15:10	CVE-2022-48612 (lien direct)	Une vulnérabilité universelle de script de script de site (UXSS) dans l'extension ClassLink OneClick via 10.7 permet aux attaquants distants d'injecter JavaScript dans une page Web, car une expression régulière (valider si une URL est contrôlée par ClassLink) n'est pas présente à tous les endroits applicables. A Universal Cross Site Scripting (UXSS) vulnerability in ClassLink OneClick Extension through 10.7 allows remote attackers to inject JavaScript into any webpage, because a regular expression (validating whether a URL is controlled by ClassLink) is not present in all applicable places.	Vulnerability
	2023-10-15 23:15:44	CVE-2023-5589 (lien direct)	Une vulnérabilité a été trouvée dans Sourcecodeter Judging Management System 1.0.Il a été déclaré comme critique.Cette vulnérabilité affecte le code inconnu du fichier login.php.La manipulation du mot de passe d'argument conduit à l'injection SQL.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-242188. A vulnerability was found in SourceCodester Judging Management System 1.0. It has been declared as critical. This vulnerability affects unknown code of the file login.php. The manipulation of the argument password leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-242188.	Vulnerability
	2023-10-15 22:15:15	CVE-2023-5587 (lien direct)	Une vulnérabilité a été trouvée dans le système de gestion hospitalier libre de Sourcecodeter pour les petites pratiques 1.0 et classifiée comme critique.Ce problème est une fonctionnalité inconnue du fichier /vm/admin/doctors.php du gestionnaire de paramètres du composant.La manipulation de la recherche d'argument conduit à l'injection de SQL.L'attaque peut être lancée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-242186 est l'identifiant attribué à cette vulnérabilité. A vulnerability was found in SourceCodester Free Hospital Management System for Small Practices 1.0 and classified as critical. Affected by this issue is some unknown functionality of the file /vm/admin/doctors.php of the component Parameter Handler. The manipulation of the argument search leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-242186 is the identifier assigned to this vulnerability.	Vulnerability
	2023-10-15 22:15:15	CVE-2023-5588 (lien direct)	Une vulnérabilité a été trouvée dans le Plérome KPHRX.Il a été classé comme problématique.Cela affecte la fonction Plérome.emoji.pack du fichier lib / plérome / emoji / pack.ex.La manipulation du nom de l'argument conduit à la traversée de chemin.La complexité d'une attaque est plutôt élevée.L'exploitabilité est dite difficile.Ce produit n'utilise pas de versioning.C'est pourquoi les informations sur les versions affectées et non affectées ne sont pas disponibles.Le patch est nommé 2C795094535537A8607CC0D3B7F076A609636F40.Il est recommandé d'appliquer un correctif pour résoudre ce problème.L'identifiant associé de cette vulnérabilité est VDB-242187. A vulnerability was found in kphrx pleroma. It has been classified as problematic. This affects the function Pleroma.Emoji.Pack of the file lib/pleroma/emoji/pack.ex. The manipulation of the argument name leads to path traversal. The complexity of an attack is rather high. The exploitability is told to be difficult. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The patch is named 2c795094535537a8607cc0d3b7f076a609636f40. It is recommended to apply a patch to fix this issue. The associated identifier of this vulnerability is VDB-242187.	Vulnerability
	2023-10-15 19:15:09	CVE-2023-38312 (lien direct)	Une vulnérabilité de traversée de répertoire dans la contre-la contre-lame 8684 permet à un client (avec un accès à distance à un serveur de jeux) de lire des fichiers arbitraires à partir du serveur sous-jacent via la variable Console MotdFile. A directory traversal vulnerability in Valve Counter-Strike 8684 allows a client (with remote control access to a game server) to read arbitrary files from the underlying server via the motdfile console variable.	Vulnerability
	2023-10-15 00:15:10	CVE-2023-5585 (lien direct)	Une vulnérabilité a été trouvée dans le système de location de moto Sourcecodeter en ligne 1.0.Il a été déclaré problématique.Cette vulnérabilité affecte le code inconnu du fichier / admin /? Page = vélo de la liste des vélos des composants.La manipulation du modèle d'argument avec l'entrée "> confirm (document.cookie) conduit à des scripts croisés du site. L'attaque peut être initiée à distance. L'exploit a été divulgué au public et peut être utilisé.VDB-242170 est l'identifiant attribué à cette vulnérabilité. A vulnerability was found in SourceCodester Online Motorcycle Rental System 1.0. It has been declared as problematic. This vulnerability affects unknown code of the file /admin/?page=bike of the component Bike List. The manipulation of the argument Model with the input ">confirm (document.cookie) leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-242170 is the identifier assigned to this vulnerability.	Vulnerability
	2023-10-14 17:15:09	CVE-2023-40367 (lien direct)	IBM QRADAR SIEM 7.5.0 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 263376. IBM QRadar SIEM 7.5.0 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 263376.	Vulnerability
	2023-10-14 16:15:10	CVE-2023-35024 (lien direct)	IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2,21.0.3, 22.0.1 et 22.0.2 est vulnérable aux scripts croisés.Cette vulnérabilité permet aux utilisateurs d'incorporer le code JavaScript arbitraire dans l'interface utilisateur Web, modifiant ainsi la fonctionnalité prévue conduisant potentiellement à la divulgation des informations d'identification au sein d'une session de confiance.IBM X-FORCE ID: 258349. IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1, and 22.0.2 is vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 258349.	Vulnerability Cloud
	2023-10-14 15:15:09	CVE-2022-33161 (lien direct)	IBM Security Directory Server 6.4.0 pourrait permettre à un attaquant distant d'obtenir des informations sensibles, causées par l'échec de l'activation correcte de la sécurité du transport strict HTTP.Un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles en utilisant l'homme dans les techniques du milieu.ID X-Force: 228569. IBM Security Directory Server 6.4.0 could allow a remote attacker to obtain sensitive information, caused by the failure to properly enable HTTP Strict Transport Security. An attacker could exploit this vulnerability to obtain sensitive information using man in the middle techniques. X-Force ID: 228569.	Vulnerability
	2023-10-14 15:15:09	CVE-2022-32755 (lien direct)	IBM Security Directory Server 6.4.0 est vulnérable à une attaque XML à injection d'entité externe (XXE) lors du traitement des données XML.Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles ou consommer des ressources de mémoire.IBM X-FORCE ID: 228505. IBM Security Directory Server 6.4.0 is vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. IBM X-Force ID: 228505.	Vulnerability
	2023-10-14 14:15:10	CVE-2023-5582 (lien direct)	Une vulnérabilité, qui a été classée comme problématique, a été trouvée dans ZZZCMS 2.2.0.Ce problème affecte un traitement inconnu de la page de profil personnel du composant.La manipulation conduit à des scripts de base du site croisé.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant associé de cette vulnérabilité est VDB-242147. A vulnerability, which was classified as problematic, has been found in ZZZCMS 2.2.0. This issue affects some unknown processing of the component Personal Profile Page. The manipulation leads to basic cross site scripting. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-242147.	Vulnerability
	2023-10-14 13:15:09	CVE-2023-5581 (lien direct)	Une vulnérabilité classée comme problématique a été trouvée dans Sourcecodeter Medicine Tracker System 1.0.Cette vulnérabilité affecte le code inconnu du fichier index.php.La manipulation de la page d'argument conduit à des scripts croisés du site.L'attaque peut être initiée à distance.L'exploit a été divulgué au public et peut être utilisé.VDB-242146 est l'identifiant attribué à cette vulnérabilité. A vulnerability classified as problematic was found in SourceCodester Medicine Tracker System 1.0. This vulnerability affects unknown code of the file index.php. The manipulation of the argument page leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-242146 is the identifier assigned to this vulnerability.	Vulnerability
	2023-10-14 12:15:10	CVE-2023-5580 (lien direct)	Une vulnérabilité classée comme critique a été trouvée dans Sourcecodeter Library System 1.0.Cela affecte une partie inconnue du fichier index.php.La manipulation de la catégorie des arguments conduit à l'injection de SQL.Il est possible d'initier l'attaque à distance.L'exploit a été divulgué au public et peut être utilisé.L'identifiant VDB-242145 a été attribué à cette vulnérabilité. A vulnerability classified as critical has been found in SourceCodester Library System 1.0. This affects an unknown part of the file index.php. The manipulation of the argument category leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-242145 was assigned to this vulnerability.	Vulnerability
	2023-10-14 12:15:10	CVE-2023-5579 (lien direct)	Une vulnérabilité a été trouvée dans le bac à sable YHZ66 6.1.0.Il a été considéré comme problématique.Ce problème est une fonctionnalité inconnue du fichier / im / utilisateur / du gestionnaire de données utilisateur des composants.La manipulation conduit à une divulgation d'informations.L'exploit a été divulgué au public et peut être utilisé.L'identifiant de cette vulnérabilité est VDB-242144. A vulnerability was found in yhz66 Sandbox 6.1.0. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /im/user/ of the component User Data Handler. The manipulation leads to information disclosure. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-242144.	Vulnerability
	2023-10-14 11:15:45	CVE-2023-5578 (lien direct)	Une vulnérabilité a été trouvée dans Port & Atilde; & iExcl; Bilis I-Educar jusqu'à 2,7,5.Il a été déclaré problématique.Cette vulnérabilité est une fonctionnalité inconnue du fichier \ intranet \ agenda_imprimir.php du gestionnaire de demande de get http composant.La manipulation de l'argument COD_agenda avec l'entrée "); \\ '> alerte (document.cookie) mène au script du site croisé. L'attaque peut être lancée à distance. L'exploit a été divulgué au publicet peut être utilisé. L'identifiant associé de cette vulnérabilité est VDB-242143. Remarque: Le fournisseur a été contacté tôt à propos de cette divulgation mais n'a pas répondu de quelque manière que ce soit. A vulnerability was found in PortÃ¡bilis i-Educar up to 2.7.5. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file \intranet\agenda_imprimir.php of the component HTTP GET Request Handler. The manipulation of the argument cod_agenda with the input ");\'> alert(document.cookie) leads to cross site scripting. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-242143. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-45348 (lien direct)	Apache Airflow, versions 2.7.0 et 2.7.1, est affectée par une vulnérabilité qui permet à un utilisateur authentifié de récupérer des informations de configuration sensibles lorsque l'option "Expose_Config" est définie sur "non sensible uniquement".L'option `Expose_config` est fausse par défaut. Il est recommandé de passer à une version qui n'est pas affectée. Apache Airflow, versions 2.7.0 and 2.7.1, is affected by a vulnerability that allows an authenticated user to retrieve sensitive configuration information when the "expose_config" option is set to "non-sensitive-only". The `expose_config` option is False by default. It is recommended to upgrade to a version that is not affected.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-42780 (lien direct)	Apache Airflow, versions avant 2.7.2, contient une vulnérabilité de sécurité qui permet aux utilisateurs authentifiés de flux d'air de répertorier les avertissements pour tous les Dags, même si l'utilisateur n'avait pas la permission de voir ces Dags.Il révélerait le DAG_IDS et les traces de pile d'erreurs d'importation pour les Dags avec des erreurs d'importation. Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, versions prior to 2.7.2, contains a security vulnerability that allows authenticated users of Airflow to list warnings for all DAGs, even if the user had no permission to see those DAGs. It would reveal the dag_ids and the stack-traces of import errors for those DAGs with import errors. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 10:15:10	CVE-2023-42792 (lien direct)	Apache Air Flow, dans les versions avant 2.7.2, contient une vulnérabilité de sécurité qui permet à un utilisateur authentifié avec un accès limité à certains Dags, pour élaborer une demande qui pourrait donner à l'utilisateur un accès en écriture à diverses ressources DAG pour Dags que l'utilisateur n'avait pas accès à l'utilisateurAinsi, permettant ainsi à l'utilisateur de nettoyer les dags, il ne devrait pas. Les utilisateurs d'Apache Airflow sont fortement conseillé de passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, in versions prior to 2.7.2, contains a security vulnerability that allows an authenticated user with limited access to some DAGs, to craft a request that could give the user write access to various DAG resources for DAGs that the user had no access to, thus, enabling the user to clear DAGs they shouldn\'t. Users of Apache Airflow are strongly advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 10:15:09	CVE-2023-42663 (lien direct)	Apache Airflow, versions avant 2.7.2, a une vulnérabilité qui permet à un utilisateur autorisé qui a accès à lire uniquement des Dags spécifiques, de lire des informations sur les instances de tâche dans d'autres Dags. Les utilisateurs d'Apache Airflow sont invités à passer à la version 2.7.2 ou plus récents pour atténuer le risque associé à cette vulnérabilité. Apache Airflow, versions before 2.7.2, has a vulnerability that allows an authorized user who has access to read specific DAGs only, to read information about task instances in other DAGs. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability.	Vulnerability
	2023-10-14 04:15:10	CVE-2023-30148 (lien direct)	Vulnérabilités de script de script de site transversal multiples (XSS) dans OPART OPARTMultiHtmlblock avant la version 2.0.12 et OPART MultiHtmlBlock * version 1.0.0, permet aux utilisateurs authentifiés à distance d'injecter un script Web arbitraire ou HTML via le Body_Text ou Body_Text_Tex.et /sourcefiles/blockhtml.php. Multiple Stored Cross Site Scripting (XSS) vulnerabilities in Opart opartmultihtmlblock before version 2.0.12 and Opart multihtmlblock* version 1.0.0, allows remote authenticated users to inject arbitrary web script or HTML via the body_text or body_text_rude field in /sourcefiles/BlockhtmlClass.php and /sourcefiles/blockhtml.php.	Vulnerability
	2023-10-14 00:15:10	CVE-2023-45674 (lien direct)	Farmbot-Web-App est une interface de contrôle Web pour la plateforme Farmbot Farm Automation.Une vulnérabilité d'injection SQL a été trouvée dans l'application Web de FarmBot \\ qui permet aux attaquants authentifiés d'extraire des données arbitraires de sa base de données (y compris la table d'utilisateurs).Ce problème peut entraîner une divulgation d'informations.Ce problème a été corrigé dans la version 15.8.4.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a aucune solution de contournement connue pour ce problème. Farmbot-Web-App is a web control interface for the Farmbot farm automation platform. An SQL injection vulnerability was found in FarmBot\'s web app that allows authenticated attackers to extract arbitrary data from its database (including the user table). This issue may lead to Information Disclosure. This issue has been patched in version 15.8.4. Users are advised to upgrade. There are no known workarounds for this issue.	Vulnerability
	2023-10-13 21:15:51	CVE-2023-4263 (lien direct)	Vulnérabilité potentielle de débordement de tampon dans le pilote Zephyr IEEE 802.15.4 NRF 15.4 Potential buffer overflow vulnerability in the Zephyr IEEE 802.15.4 nRF 15.4 driver	Vulnerability

Last update at: 2024-05-18 22:08:18
See our sources.

To see everything: Our RSS (filtrered)