SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2023-11-06 09:15:08	CVE-2023-45830 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans la suite d'accessibilité ADA en ligne par ADA en ligne permet l'injection SQL. Ce problème affecte la suite d'accessibilité par ADA en ligne: de N / A à 4.11. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Online ADA Accessibility Suite by Online ADA allows SQL Injection.This issue affects Accessibility Suite by Online ADA: from n/a through 4.11.	Vulnerability
	2023-11-06 09:15:07	CVE-2023-28748 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL injection \') dans la vulnérabilité dans BizTechc Copy ou Move Commentaires permet à SQL Injection.Ce problème affecte la copie ou les commentaires de déplacement: De N / A à 5.0.4. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in biztechc Copy or Move Comments allows SQL Injection.This issue affects Copy or Move Comments: from n/a through 5.0.4.	Vulnerability
	2023-11-06 09:15:07	CVE-2023-33924 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans le handball de Felix Welberg permet l'injection SQL.Ce problème affecte le handball SIS: de N / A à 1.0.45. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Felix Welberg SIS Handball allows SQL Injection.This issue affects SIS Handball: from n/a through 1.0.45.	Vulnerability
	2023-11-06 09:15:07	CVE-2023-27605 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la vulnérabilité de SAJJAD HOSSAIN WP Reroute Email Permet l'injection SQL.Ce problème affecte le courrier électronique WP Reroute: de N / A à 1.4.6. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Sajjad Hossain WP Reroute Email allows SQL Injection.This issue affects WP Reroute Email: from n/a through 1.4.6.	Vulnerability
	2023-11-06 09:15:07	CVE-2023-35911 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') Vulnérabilité dans Creative Solutions Contact Form Generator: Creative Form Builder pour WordPress permet l'injection SQL.Ce problème affecte le générateur de formulaire de contact: Builder de formulaire créatif pour WordPress:De N / A à 2.6.0. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Creative Solutions Contact Form Generator : Creative form builder for WordPress allows SQL Injection.This issue affects Contact Form Generator : Creative form builder for WordPress: from n/a through 2.6.0.	Vulnerability
	2023-11-06 08:15:22	CVE-2023-28794 (lien direct)	La vulnérabilité d'erreur de validation d'origine dans le connecteur client ZSCaler sur Linux permet l'abus de privilèges.Ce problème affecte le connecteur client ZSCaler pour Linux: avant 1.3.1.6. Origin Validation Error vulnerability in Zscaler Client Connector on Linux allows Privilege Abuse. This issue affects Zscaler Client Connector for Linux: before 1.3.1.6.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-47432 (lien direct)	La neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans Kemal Yazici - PluginPress Shortcode IMDB permet l'injection SQL.Ce problème affecte le raccourci IMDB: de N / A à 6.0.8. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Kemal YAZICI - PluginPress Shortcode IMDB allows SQL Injection.This issue affects Shortcode IMDB: from n/a through 6.0.8.	Vulnerability
	2023-11-06 08:15:21	CVE-2021-4430 (lien direct)	Une vulnérabilité classée comme problématique a été trouvée dans Ortus Solutions Coldbox Elixir 3.1.6.Cela affecte une partie inconnue du fichier src / defaultconfig.js du gestionnaire de variables Env Component.La manipulation conduit à une divulgation d'informations.La mise à niveau vers la version 3.1.7 est en mesure de résoudre ce problème.L'identifiant du patch est A3AA62DAEA2E44C76D08D1EAC63768CD928CD69E.Il est recommandé de mettre à niveau le composant affecté.L'identifiant VDB-244485 a été attribué à cette vulnérabilité. A vulnerability classified as problematic has been found in Ortus Solutions ColdBox Elixir 3.1.6. This affects an unknown part of the file src/defaultConfig.js of the component ENV Variable Handler. The manipulation leads to information disclosure. Upgrading to version 3.1.7 is able to address this issue. The identifier of the patch is a3aa62daea2e44c76d08d1eac63768cd928cd69e. It is recommended to upgrade the affected component. The identifier VDB-244485 was assigned to this vulnerability.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-47428 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans le calendrier de réservation WPDevart, le système de réservation de rendez-vous permet l'injection SQL. Ce problème affecte le calendrier de réservation, le système de réservation de rendez-vous: de N / a à 3.2.7. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in WpDevArt Booking calendar, Appointment Booking System allows SQL Injection.This issue affects Booking calendar, Appointment Booking System: from n/a through 3.2.7.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-46849 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans Webblizar à venir Page Both & acirc; & euro; & ldquo;Réactif à venir bientôt & amp;Le mode de maintenance permet l'injection SQL. Ce problème affecte la page à venir Page & acirc; & euro; & ldquo;Réactif à venir bientôt & amp;Mode de maintenance: de N / A à 1.5.9. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Weblizar Coming Soon Page â€“ Responsive Coming Soon & Maintenance Mode allows SQL Injection.This issue affects Coming Soon Page â€“ Responsive Coming Soon & Maintenance Mode: from n/a through 1.5.9.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-47420 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans la suite d'accessibilité ADA en ligne par ADA en ligne permet l'injection SQL. Ce problème affecte la suite d'accessibilité par ADA en ligne: de N / A à 4.11. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Online ADA Accessibility Suite by Online ADA allows SQL Injection.This issue affects Accessibility Suite by Online ADA: from n/a through 4.11.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-46860 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la vulnérabilité de Kaizencors URL courte permet l'injection SQL.Ce problème affecte l'URL courte: de N / A à 1.6.4. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in KaizenCoders Short URL allows SQL Injection.This issue affects Short URL: from n/a through 1.6.4.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-45373 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans Jason Crouse, Veronalabs Slimstat Analytics permet l'injection SQL.Ce problème affecte Slimstat Analytics: de N / A à 5,0,4. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Jason Crouse, VeronaLabs Slimstat Analytics allows SQL Injection.This issue affects Slimstat Analytics: from n/a through 5.0.4.	Vulnerability
	2023-11-06 08:15:21	CVE-2022-47430 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans Webblizar the School Management & acirc; & euro; & ldquo;Éducation & amp;La gestion de l'apprentissage permet l'injection de SQL. Ce problème affecte la gestion de l'école & acirc; & euro; & ldquo;Éducation & amp;Gestion de l'apprentissage: de N / A à 4.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Weblizar The School Management â€“ Education & Learning Management allows SQL Injection.This issue affects The School Management â€“ Education & Learning Management: from n/a through 4.1.	Vulnerability
	2023-11-06 07:15:09	CVE-2023-42669 (lien direct)	Une vulnérabilité a été trouvée dans le serveur de développement "RPCECHO" de Samba \\, un serveur RPC non Windows utilisé pour tester les éléments de pile DCE / RPC de Samba \\.Cette vulnérabilité découle d'une fonction RPC qui peut être bloquée indéfiniment.Le problème se pose parce que le service "RPCECHO" fonctionne avec un seul travailleur dans la tâche RPC principale, permettant aux appels au serveur "RPCECHO" soit bloqué pendant une période spécifiée, provoquant des interruptions de service.Cette perturbation est déclenchée par un appel "sleep ()" dans la fonction "dcesrv_echo_testSleep ()" dans des conditions spécifiques.Les utilisateurs ou attaquants authentifiés peuvent exploiter cette vulnérabilité pour passer des appels vers le serveur "RPCECHO", lui demandant de bloquer une durée spécifiée, perturbant efficacement la plupart des services et conduisant à un déni de service complet sur AD DC.Le DOS affecte tous les autres services au fur et à mesure que "RPCECHO" s'exécute dans la tâche RPC principale. A vulnerability was found in Samba\'s "rpcecho" development server, a non-Windows RPC server used to test Samba\'s DCE/RPC stack elements. This vulnerability stems from an RPC function that can be blocked indefinitely. The issue arises because the "rpcecho" service operates with only one worker in the main RPC task, allowing calls to the "rpcecho" server to be blocked for a specified time, causing service disruptions. This disruption is triggered by a "sleep()" call in the "dcesrv_echo_TestSleep()" function under specific conditions. Authenticated users or attackers can exploit this vulnerability to make calls to the "rpcecho" server, requesting it to block for a specified duration, effectively disrupting most services and leading to a complete denial of service on the AD DC. The DoS affects all other services as "rpcecho" runs in the main RPC task.	Vulnerability Threat
	2023-11-06 06:15:41	CVE-2023-4699 (lien direct)	Vérification insuffisante de la vulnérabilité de l'authenticité des données dans les modules principaux de Mitsubishi Electric Corporation MELSEC-F et MELSEC IQ-F Series Permet un attaquant non authentifié distant pour réinitialiser la mémoire des produits à l'état par défaut d'usine et provoquer un déni de service (DOS) (DOS)condition sur les produits en envoyant des paquets spécifiques. Insufficient Verification of Data Authenticity vulnerability in Mitsubishi Electric Corporation MELSEC-F Series main modules and MELSEC iQ-F Series CPU modules allows a remote unauthenticated attacker to reset the memory of the products to factory default state and cause denial-of-service (DoS) condition on the products by sending specific packets.	Vulnerability
	2023-11-06 05:15:15	CVE-2023-4625 (lien direct)	Une mauvaise restriction de l'authentification excessive tente la vulnérabilité dans Mitsubishi Electric Corporation MELSEC IQ-F Series CPU Modules La fonction du serveur Web permet à un attaquant non authentifié distant d'empêcher les utilisateurs légitimes de se connecter à la fonction du serveur Web pendant une certaine période après que l'attaquant a tenté de se connecter en illégalement à illégalement à illégalement pour une certaine période après que l'attaquant a tenté de se connecter en illégalement en illégalement à illégalement pour une certaine période après que l'attaquant a tenté de se connecter en illégalement illégalementEn tentant continuellement de connexion non autorisée à la fonction du serveur Web.L'impact de cette vulnérabilité persistera tandis que l'attaquant continue de tenter la connexion non autorisée. Improper Restriction of Excessive Authentication Attempts vulnerability in Mitsubishi Electric Corporation MELSEC iQ-F Series CPU modules Web server function allows a remote unauthenticated attacker to prevent legitimate users from logging into the Web server function for a certain period after the attacker has attempted to log in illegally by continuously attempting unauthorized login to the Web server function. The impact of this vulnerability will persist while the attacker continues to attempt unauthorized login.	Vulnerability
	2023-11-06 01:15:08	CVE-2018-25093 (lien direct)	Une vulnérabilité a été trouvée dans Vaerys-Dawn DiscordSailv2 jusqu'à 2.10.2.Il a été évalué comme critique.Ce problème est une fonctionnalité inconnue du gestionnaire de balises de composant.La manipulation conduit à des contrôles d'accès inappropriés.La mise à niveau vers la version 2.10.3 est en mesure de résoudre ce problème.Le nom du patch est CC12E0BE82A5D05D9F359ED8E56088F4F8B8EB69.Il est recommandé de mettre à niveau le composant affecté.L'identifiant de cette vulnérabilité est VDB-244484. A vulnerability was found in Vaerys-Dawn DiscordSailv2 up to 2.10.2. It has been rated as critical. Affected by this issue is some unknown functionality of the component Tag Handler. The manipulation leads to improper access controls. Upgrading to version 2.10.3 is able to address this issue. The name of the patch is cc12e0be82a5d05d9f359ed8e56088f4f8b8eb69. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-244484.	Vulnerability
	2023-11-05 21:15:09	CVE-2017-20187 (lien direct)	Non pris en charge lorsqu'il est attribué non pris en charge lorsqu'il est attribué Une vulnérabilité a été trouvée dans le magnésium-php jusqu'à 0,3,0.Il a été classé comme problématique.La fonction est la fonction FormateMailString du fichier src / magnésium / message / base.php.La manipulation de l'argument par e-mail / nom conduit à l'injection.La mise à niveau vers la version 0.3.1 est en mesure de résoudre ce problème.Le patch est identifié comme 500D340E1F6421007413CC08A8383475221C2604.Il est recommandé de mettre à niveau le composant affecté.VDB-244482 est l'identifiant attribué à cette vulnérabilité.Remarque: Cette vulnérabilité n'affecte que les produits qui ne sont plus soutenus par le mainteneur. UNSUPPPORTED WHEN ASSIGNED UNSUPPORTED WHEN ASSIGNED A vulnerability was found in Magnesium-PHP up to 0.3.0. It has been classified as problematic. Affected is the function formatEmailString of the file src/Magnesium/Message/Base.php. The manipulation of the argument email/name leads to injection. Upgrading to version 0.3.1 is able to address this issue. The patch is identified as 500d340e1f6421007413cc08a8383475221c2604. It is recommended to upgrade the affected component. VDB-244482 is the identifier assigned to this vulnerability. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.	Vulnerability
	2023-11-05 21:15:09	CVE-2018-25092 (lien direct)	Une vulnérabilité a été trouvée dans Vaerys-Dawn DiscordSailv2 jusqu'à 2.10.2.Il a été déclaré comme critique.Cette vulnérabilité est une fonctionnalité inconnue du gestionnaire de mention de commandement composant.La manipulation conduit à des contrôles d'accès inappropriés.La mise à niveau vers la version 2.10.3 est en mesure de résoudre ce problème.Le patch est nommé CC12E0BE82A5D05D9F359ED8E56088F4F8B8EB69.Il est recommandé de mettre à niveau le composant affecté.L'identifiant associé de cette vulnérabilité est VDB-244483. A vulnerability was found in Vaerys-Dawn DiscordSailv2 up to 2.10.2. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Command Mention Handler. The manipulation leads to improper access controls. Upgrading to version 2.10.3 is able to address this issue. The patch is named cc12e0be82a5d05d9f359ed8e56088f4f8b8eb69. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-244483.	Vulnerability
	2023-11-05 00:15:08	CVE-2023-46964 (lien direct)	La vulnérabilité des scripts du site croisé (XSS) dans Hillstone Next Generation Firewall SG-6000-E3960 V.5.5 permet à un attaquant distant d'exécuter du code arbitraire via l'utilisation de filtrage frontal au lieu du filtrage arrière. Cross Site Scripting (XSS) vulnerability in Hillstone Next Generation FireWall SG-6000-e3960 v.5.5 allows a remote attacker to execute arbitrary code via the use front-end filtering instead of back-end filtering.	Vulnerability
	2023-11-05 00:15:08	CVE-2023-46981 (lien direct)	La vulnérabilité de l'injection SQL dans le nouveau V.4.2.0, permet à un attaquant distant d'exécuter du code arbitraire via un script fabriqué au paramètre de tri dans / commun / log / liste. SQL injection vulnerability in Novel-Plus v.4.2.0 allows a remote attacker to execute arbitrary code via a crafted script to the sort parameter in /common/log/list.	Vulnerability
	2023-11-04 23:15:07	CVE-2023-40922 (lien direct)	Kerawen avant V2.5.1 a été découvert qu'il contenait une vulnérabilité d'injection SQL via le paramètre OCS_ID_CART à KerawenDeliveryModuleFrontController :: initContent (). kerawen before v2.5.1 was discovered to contain a SQL injection vulnerability via the ocs_id_cart parameter at KerawenDeliveryModuleFrontController::initContent().	Vulnerability
	2023-11-04 00:15:08	CVE-2023-38391 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans le constructeur de la page ThemesGrove permet l'injection SQL.Ce problème affecte un constructeur OnePage: de N / A à 2.4.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Themesgrove Onepage Builder allows SQL Injection.This issue affects Onepage Builder: from n/a through 2.4.1.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-32741 (lien direct)	Une neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans les solutions de chemin informatique Pvt Ltd Contact Form à toute API permet l'injection SQL.Ce problème affecte le formulaire de contact à toute API: de N / A à travers1.1.2. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in IT Path Solutions PVT LTD Contact Form to Any API allows SQL Injection.This issue affects Contact Form to Any API: from n/a through 1.1.2.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-35910 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans Nucleus_genius Quasar Form Free & acirc; & euro; & ldquo;Contact Form Builder pour WordPress permet l'injection SQL. Ce problème affecte le formulaire quasar gratuit & acirc; & euro; & ldquo;Contact Form Builder pour WordPress: De N / A à 6.0. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Nucleus_genius Quasar form free â€“ Contact Form Builder for WordPress allows SQL Injection.This issue affects Quasar form free â€“ Contact Form Builder for WordPress: from n/a through 6.0.	Vulnerability
	2023-11-04 00:15:08	CVE-2023-40215 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la vulnérabilité dans l'annotation de l'image de démon DemonisBlack permet l'injection SQL.Ce problème affecte l'annotation de l'image de démon: de N / A à 5.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Demonisblack demon image annotation allows SQL Injection.This issue affects demon image annotation: from n/a through 5.1.	Vulnerability
	2023-11-03 23:15:08	CVE-2023-36677 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans SmartyPants SP Project & amp;Le gestionnaire de documents permet à SQL injection. Ce problème affecte le projet SP & amp;Gestionnaire de documents: de N / A à 4.67. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Smartypants SP Project & Document Manager allows SQL Injection.This issue affects SP Project & Document Manager: from n/a through 4.67.	Vulnerability
	2023-11-03 23:15:08	CVE-2023-45189 (lien direct)	Une vulnérabilité dans IBM Robotic Process Automation et IBM Robotic Process Automation for Cloud PAK 21.0.0 à 21.0.7.10, 23.0.0 à 23.0.10 peut entraîner l'accès aux informations d'identification du client Vault.Cette vulnérabilité difficile à exploiter pourrait permettre à un attaquant privilégié faible d'accéder à des informations d'identification Client Vault Client.IBM X-FORCE ID: 268752. A vulnerability in IBM Robotic Process Automation and IBM Robotic Process Automation for Cloud Pak 21.0.0 through 21.0.7.10, 23.0.0 through 23.0.10 may result in access to client vault credentials. This difficult to exploit vulnerability could allow a low privileged attacker to programmatically access client vault credentials. IBM X-Force ID: 268752.	Vulnerability Threat Cloud
	2023-11-03 20:15:09	CVE-2023-41726 (lien direct)	Ivanti Avalanche Les autorisations par défaut incorrectes permettent une vulnérabilité d'escalade des privilèges locaux Ivanti Avalanche Incorrect Default Permissions allows Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:09	CVE-2023-41725 (lien direct)	Ivanti Avalanche EnterpriseServer Service Fichier sans restriction Téléchargez la vulnérabilité d'escalade des privilèges locaux Ivanti Avalanche EnterpriseServer Service Unrestricted File Upload Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:08	CVE-2022-43555 (lien direct)	Ivanti Avalanche Imprimante Device Service Authentification manquante Authentification Local Privilege Escalation Vulnérabilité Ivanti Avalanche Printer Device Service Missing Authentication Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 20:15:08	CVE-2022-43554 (lien direct)	Ivanti Avalanche Smart Device Service Authentification manquante Authentification Local Privilege Escalation Vulnérabilité Ivanti Avalanche Smart Device Service Missing Authentication Local Privilege Escalation Vulnerability	Vulnerability
	2023-11-03 17:15:08	CVE-2023-39299 (lien direct)	Une vulnérabilité de traversée de chemin a été rapportée pour affecter la station de musique.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs de lire le contenu des fichiers inattendus et d'exposer des données sensibles via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: Station de musique 4.8.11 et plus tard Station de musique 5.1.16 et plus tard Station musicale 5.3.23 et plus tard A path traversal vulnerability has been reported to affect Music Station. If exploited, the vulnerability could allow users to read the contents of unexpected files and expose sensitive data via a network. We have already fixed the vulnerability in the following versions: Music Station 4.8.11 and later Music Station 5.1.16 and later Music Station 5.3.23 and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-23369 (lien direct)	Une vulnérabilité d'injection de commande OS a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs d'exécuter des commandes via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: Console multimédia 2.1.2 (2023/05/04) et plus tard Console multimédia 1.4.8 (2023/05/05) et plus tard QTS 5.1.0.2399 Build 20230515 et plus tard QTS 4.3.6.2441 Build 20230621 et plus tard QTS 4.3.4.2451 Build 20230621 et plus tard QTS 4.3.3.2420 Build 20230621 et plus tard QTS 4.2.6 Build 20230621 et plus tard Média streaming complément 500.1.1.2 (2023/06/12) et plus tard Média streaming complément 500.0.0.11 (2023/06/16) et plus tard An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network. We have already fixed the vulnerability in the following versions: Multimedia Console 2.1.2 ( 2023/05/04 ) and later Multimedia Console 1.4.8 ( 2023/05/05 ) and later QTS 5.1.0.2399 build 20230515 and later QTS 4.3.6.2441 build 20230621 and later QTS 4.3.4.2451 build 20230621 and later QTS 4.3.3.2420 build 20230621 and later QTS 4.2.6 build 20230621 and later Media Streaming add-on 500.1.1.2 ( 2023/06/12 ) and later Media Streaming add-on 500.0.0.11 ( 2023/06/16 ) and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-25700 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans themyUm tutor LMS permet l'injection SQL.Ce problème affecte le tuteur LMS: de N / A à 2.1.10. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Themeum Tutor LMS allows SQL Injection.This issue affects Tutor LMS: from n/a through 2.1.10.	Vulnerability
	2023-11-03 17:15:08	CVE-2023-23368 (lien direct)	Une vulnérabilité d'injection de commande OS a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs d'exécuter des commandes via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: QTS 5.0.1.2376 Build 20230421 et plus tard QTS 4.5.4.2374 Build 20230416 et plus tard Quts Hero H5.0.1.2376 Build 20230421 et plus tard QUTS Hero H4.5.4.2374 Build 20230417 et plus tard QUTSCLOUD C5.0.1.2374 et plus tard An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow users to execute commands via a network. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2376 build 20230421 and later QTS 4.5.4.2374 build 20230416 and later QuTS hero h5.0.1.2376 build 20230421 and later QuTS hero h4.5.4.2374 build 20230417 and later QuTScloud c5.0.1.2374 and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-25800 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans themyum tutor LMS permet l'injection SQL.Ce problème affecte le tuteur LMS: de N / A à 2.2.0. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Themeum Tutor LMS allows SQL Injection.This issue affects Tutor LMS: from n/a through 2.2.0.	Vulnerability
	2023-11-03 17:15:08	CVE-2023-32121 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans le spam zéro Highfivert LLC pour WordPress permet l'injection SQL.Ce problème affecte zéro spam pour WordPress: de N / A à 5.4.4. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Highfivery LLC Zero Spam for WordPress allows SQL Injection.This issue affects Zero Spam for WordPress: from n/a through 5.4.4.	Spam Vulnerability
	2023-11-03 17:15:08	CVE-2023-25990 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans themyUm tutor LMS permet l'injection SQL.Ce problème affecte le tuteur LMS: de N / A à 2.1.10. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Themeum Tutor LMS allows SQL Injection.This issue affects Tutor LMS: from n/a through 2.1.10.	Vulnerability
	2023-11-03 17:15:08	CVE-2023-39301 (lien direct)	Une vulnérabilité de contrefaçon de demande côté serveur (SSRF) a été signalée pour affecter plusieurs versions du système d'exploitation QNAP.S'il est exploité, la vulnérabilité pourrait permettre aux utilisateurs authentifiés de lire les données d'application via un réseau. Nous avons déjà corrigé la vulnérabilité dans les versions suivantes: QTS 5.0.1.2514 Build 20230906 et plus tard QTS 5.1.1.2491 Build 20230815 et plus tard Quts Hero H5.0.1.2515 Build 20230907 et plus tard QUTS Hero H5.1.1.2488 Build 20230812 et plus tard QUTSCLOUD C5.1.0.2498 et plus tard A server-side request forgery (SSRF) vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow authenticated users to read application data via a network. We have already fixed the vulnerability in the following versions: QTS 5.0.1.2514 build 20230906 and later QTS 5.1.1.2491 build 20230815 and later QuTS hero h5.0.1.2515 build 20230907 and later QuTS hero h5.1.1.2488 build 20230812 and later QuTScloud c5.1.0.2498 and later	Vulnerability
	2023-11-03 17:15:08	CVE-2023-32508 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans Rolf Van Gelder Order vos messages permet manuellement l'injection SQL.Ce problème affecte l'ordre de vos messages manuellement: de N / A à 2.2.5. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Rolf van Gelder Order Your Posts Manually allows SQL Injection.This issue affects Order Your Posts Manually: from n/a through 2.2.5.	Vulnerability
	2023-11-03 17:15:08	CVE-2023-34179 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans la vulnérabilité dans Groundhogg Inc. Groundhogg permet l'injection de SQL.Ce problème affecte Groundhogg: de N / A à 2.7.11. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Groundhogg Inc. Groundhogg allows SQL Injection.This issue affects Groundhogg: from n/a through 2.7.11.	Vulnerability
	2023-11-03 17:15:08	CVE-2023-36529 (lien direct)	Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') Vulnérabilité dans Favethemes Houzez - Le thème WordPress immobilier permet d'injection SQL.Ce problème affecte Houzez - THÈME WORDPRESS IMMOBILE: De N / A à 1.3.4 Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Favethemes Houzez - Real Estate WordPress Theme allows SQL Injection.This issue affects Houzez - Real Estate WordPress Theme: from n/a through 1.3.4.	Vulnerability
	2023-11-03 16:15:30	CVE-2022-46818 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans les publications e-mail de GOPI Ramasamy aux abonnés permet à SQL injection. Ce problème affecte les publications e-mail aux abonnés: de N / A à 6.2. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Gopi Ramasamy Email posts to subscribers allows SQL Injection.This issue affects Email posts to subscribers: from n/a through 6.2.	Vulnerability
	2023-11-03 13:15:08	CVE-2023-26015 (lien direct)	Une mauvaise neutralisation des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') vulnérabilité dans les cartes Chris Richardson Mappress pour WordPress Mappress-Google-Maps-for-WordPress permet à SQL injection.N / A à 2,85,4. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Chris Richardson MapPress Maps for WordPress mappress-google-maps-for-wordpress allows SQL Injection.This issue affects MapPress Maps for WordPress: from n/a through 2.85.4.	Vulnerability
	2023-11-03 13:15:08	CVE-2022-47445 (lien direct)	La neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'sql injection \') dans le web-x être conforme à la POPIA, conforme à la POPIA, permet l'injection SQL.Ce problème affecte être conforme à Popia: de N / A à 1,2.0. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Web-X Be POPIA Compliant be-popia-compliant allows SQL Injection.This issue affects Be POPIA Compliant: from n/a through 1.2.0.	Vulnerability
	2023-11-03 13:15:08	CVE-2022-46859 (lien direct)	La neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité SQL (\\ 'sql injection \') dans les plugins Spiffy Spiffy Calendar Spiffy-Calendar permet l'injection de SQL. Ce problème affecte le calendrier Spiffy: de N / A à 4.9.1. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Spiffy Plugins Spiffy Calendar spiffy-calendar allows SQL Injection.This issue affects Spiffy Calendar: from n/a through 4.9.1.	Vulnerability
	2023-11-03 13:15:08	CVE-2023-3961 (lien direct)	Une vulnérabilité de traversée de chemin a été identifiée dans Samba lors du traitement des noms de tuyaux clients se connectant aux prises de domaine UNIX dans un répertoire privé.Samba utilise généralement ce mécanisme pour connecter les clients SMB aux services d'appel de procédure distante (RPC) comme SAMR LSA ou Spools, que Samba initie à la demande.Cependant, en raison de la désinfecture inadéquate des noms de tuyaux clients entrants, permettant à un client d'envoyer un nom de tuyau contenant des caractères de traversée de répertoire UNIX (../).Cela pourrait entraîner la connexion des clients SMB en tant que root aux sockets de domaine Unix en dehors du répertoire privé.Si un attaquant ou un client a réussi à envoyer un nom de tuyau résolvant à un service externe à l'aide d'une prise de domaine UNIX existante, cela pourrait potentiellement conduire à un accès non autorisé au service et à des événements indésirables conséquents, y compris des compromis ou des accidents de service. A path traversal vulnerability was identified in Samba when processing client pipe names connecting to Unix domain sockets within a private directory. Samba typically uses this mechanism to connect SMB clients to remote procedure call (RPC) services like SAMR LSA or SPOOLSS, which Samba initiates on demand. However, due to inadequate sanitization of incoming client pipe names, allowing a client to send a pipe name containing Unix directory traversal characters (../). This could result in SMB clients connecting as root to Unix domain sockets outside the private directory. If an attacker or client managed to send a pipe name resolving to an external service using an existing Unix domain socket, it could potentially lead to unauthorized access to the service and consequential adverse events, including compromise or service crashes.	Vulnerability
	2023-11-03 13:15:08	CVE-2022-45805 (lien direct)	La neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL (\\ 'SQL Injection \') dans la passerelle Paytm Paytm Paytm Paytm permet d'injection SQL. Ce problème affecte la passerelle de paiement Paytm: de N / A à 2.7.3. Improper Neutralization of Special Elements used in an SQL Command (\'SQL Injection\') vulnerability in Paytm Paytm Payment Gateway paytm-payments allows SQL Injection.This issue affects Paytm Payment Gateway: from n/a through 2.7.3.	Vulnerability

Last update at: 2024-05-18 19:08:15
See our sources.

To see everything: Our RSS (filtrered)