Description 🇬🇧 : Unrestricted Upload of File with Dangerous Type vulnerability in Anton Hoelstad WP Quick Setup allows Upload a Web Shell to a Web Server.This issue affects WP Quick Setup: from n/a through 2.0.
Description 🇫🇷 : Une vulnérabilité d'« Upload de fichier non restreint avec un type dangereux » dans Anton Hoelstad WP Quick Setup permet de télécharger un shell web sur un serveur web. Ce problème affecte WP Quick Setup : de la version n/a à la version 2.0.
Description 🇬🇧 : Improper Neutralization of Special Elements Used in a Template Engine vulnerability in Saso Nikolov Event Tickets with Ticket Scanner allows Server Side Include (SSI) Injection.This issue affects Event Tickets with Ticket Scanner: from n/a through 2.3.11.
Description 🇫🇷 : La vulnérabilité d'Neutralisation Inadéquate d'Éléments Spéciaux Utilisés dans un Moteur de Modèles dans Saso Nikolov Event Tickets avec Ticket Scanner permet une Injection de Server Side Include (SSI). Ce problème affecte Event Tickets avec Ticket Scanner : de n/a à 2.3.11.
Description 🇬🇧 : Cobbler, a Linux installation server that allows for rapid setup of network installation environments, has an improper authentication vulnerability starting in version 3.0.0 and prior to versions 3.2.3 and 3.3.7. `utils.get_shared_secret()` always returns `-1`, which allows anyone to connect to cobbler XML-RPC as user `''` password `-1` and make any changes. This gives anyone with network access to a cobbler server full control of the server. Versions 3.2.3 and 3.3.7 fix the issue.
Description 🇫🇷 : Cobbler, un serveur d'installation Linux qui permet une configuration rapide d'environnements d'installation en réseau, présente une vulnérabilité d'authentification incorrecte à partir de la version 3.0.0 et antérieure aux versions 3.2.3 et 3.3.7. `utils.get_shared_secret()` renvoie toujours `-1`, ce qui permet à quiconque de se connecter à Cobbler XML-RPC en tant qu'utilisateur `''` et mot de passe `-1` pour apporter toutes les modifications. Cela donne à toute personne ayant accès au réseau du serveur Cobbler un contrôle total sur le serveur. Les versions 3.2.3 et 3.3.7 corrigent ce problème.
Description 🇬🇧 : Deserialization of Untrusted Data vulnerability in Mindstien Technologies My Geo Posts Free allows Object Injection.This issue affects My Geo Posts Free: from n/a through 1.2.
Description 🇫🇷 : Vulnérabilité de désérialisation de données non fiables dans Mindstien Technologies My Geo Posts Free permettant une injection d'objets. Ce problème affecte My Geo Posts Free : de la version n/a à 1.2.
Description 🇬🇧 : Deserialization of Untrusted Data vulnerability in NIX Solutions Ltd NIX Anti-Spam Light allows Object Injection.This issue affects NIX Anti-Spam Light: from n/a through 0.0.4.
Description 🇫🇷 : Vulnérabilité de désérialisation de données non fiables dans NIX Solutions Ltd NIX Anti-Spam Light permettant une injection d'objets. Ce problème affecte NIX Anti-Spam Light : de n/a à 0.0.4.
Description 🇬🇧 : Deserialization of Untrusted Data vulnerability in Lis Lis Video Gallery allows Object Injection.This issue affects Lis Video Gallery: from n/a through 0.2.1.
Description 🇫🇷 : La vulnérabilité de désérialisation de données non fiables dans Lis Lis Video Gallery permet l'injection d'objets. Ce problème affecte Lis Video Gallery : de la version n/a à 0.2.1.
Description 🇬🇧 : Unchecked Error Condition vulnerability in Apache Tomcat. If Tomcat is configured to use a custom Jakarta Authentication (formerly JASPIC) ServerAuthContext component which may throw an exception during the authentication process without explicitly setting an HTTP status to indicate failure, the authentication may not fail, allowing the user to bypass the authentication process. There are no known Jakarta Authentication components that behave in this way.
This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M26, from 10.1.0-M1 through 10.1.30, from 9.0.0-M1 through 9.0.95.
Users are recommended to upgrade to version 11.0.0, 10.1.31 or 9.0.96, which fix the issue.
Description 🇫🇷 : Vulnérabilité de condition d'erreur non vérifiée dans Apache Tomcat. Si Tomcat est configuré pour utiliser un composant ServerAuthContext Jakarta Authentication (anciennement JASPIC) personnalisé qui peut générer une exception pendant le processus d'authentification sans définir explicitement un statut HTTP pour indiquer l'échec, l'authentification peut ne pas échouer, permettant à l'utilisateur de contourner le processus d'authentification. Aucun composant Jakarta Authentication connu ne se comporte de cette manière.
Ce problème affecte Apache Tomcat : de la version 11.0.0-M1 à 11.0.0-M26, de la version 10.1.0-M1 à 10.1.30, de la version 9.0.0-M1 à 9.0.95.
Il est recommandé aux utilisateurs de passer à la version 11.0.0, 10.1.31 ou 9.0.96, qui corrigent le problème.
Description 🇬🇧 : The DVC from TRCore has a Path Traversal vulnerability and does not restrict the types of uploaded files. This allows unauthenticated remote attackers to upload arbitrary files to any directory, leading to arbitrary code execution by uploading webshells.
Description 🇫🇷 : Le DVC de TRCore présente une vulnérabilité de Traversée de Chemin et ne restreint pas les types de fichiers téléchargés. Cela permet à des attaquants distants non authentifiés de télécharger des fichiers arbitraires dans n'importe quel répertoire, ce qui peut entraîner une exécution de code arbitraire en téléchargeant des coquilles web.
Description 🇬🇧 : The DVC from TRCore has a Path Traversal vulnerability and does not restrict the types of uploaded files. This allows unauthenticated remote attackers to upload arbitrary files to any directory, leading to arbitrary code execution by uploading webshells.
Description 🇫🇷 : Le DVC de TRCore présente une vulnérabilité de Traversée de Chemin et ne restreint pas les types de fichiers téléchargés. Cela permet à des attaquants distants non authentifiés de télécharger des fichiers arbitraires dans n'importe quel répertoire, ce qui peut entraîner l'exécution de code arbitraire en téléchargeant des webshells.
Description 🇬🇧 : Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in django CMS Association django-cms allows Cross-Site Scripting (XSS).This issue affects django-cms: 3.11.7, 3.11.8, 4.1.2, 4.1.3.
Description 🇫🇷 : Vulnérabilité d'Neutralisation Inadéquate des Entrées lors de la Génération de Pages Web (XSS ou 'Cross-site Scripting') dans django CMS. L'association django-cms permet une attaque de type Cross-Site Scripting (XSS). Ce problème affecte les versions suivantes de django-cms : 3.11.7, 3.11.8, 4.1.2, 4.1.3.
Description 🇬🇧 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Pressaholic WordPress Video Robot - The Ultimate Video Importer allows SQL Injection.This issue affects WordPress Video Robot - The Ultimate Video Importer: from n/a through 1.20.0.
Description 🇫🇷 : Vulnérabilité d'Injection SQL (« SQL Injection ») due à une neutralisation inadéquate des éléments spéciaux utilisés dans une commande SQL dans Pressaholic WordPress Video Robot - L'importateur vidéo ultime permettant l'injection SQL. Ce problème affecte WordPress Video Robot - L'importateur vidéo ultime : de n/a à 1.20.0.
Description 🇬🇧 : Improper Neutralization of Special Elements Used in a Template Engine vulnerability in Supsystic Popup by Supsystic allows Command Injection.This issue affects Popup by Supsystic: from n/a through 1.10.29.
Description 🇫🇷 : La vulnérabilité d'Neutralisation Inadéquate d'Éléments Spéciaux Utilisés dans un Moteur de Modèles dans Supsystic Popup par Supsystic permet l'Injection de Commande. Ce problème affecte Popup par Supsystic : de n/a à 1.10.29.
Description 🇬🇧 : Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache HertzBeat (incubating).
This vulnerability can only be exploited by authorized attackers.
This issue affects Apache HertzBeat (incubating): before 1.6.1.
Users are recommended to upgrade to version 1.6.1, which fixes the issue.
Description 🇫🇷 : Vulnérabilité d'Injection de Commande (« Command Injection ») par Neutralisation Inadéquate d'Éléments Spéciaux utilisés dans une Commande dans Apache HertzBeat (incubating).
Cette vulnérabilité ne peut être exploitée que par des attaquants autorisés.
Ce problème affecte Apache HertzBeat (incubating) : avant la version 1.6.1.
Il est recommandé aux utilisateurs de mettre à jour vers la version 1.6.1, qui corrige le problème.
Description 🇬🇧 : A low privileged remote attacker may modify the configuration of the CODESYS V3 service through a missing authentication vulnerability which could lead to full system access and/or DoS.
Description 🇫🇷 : Un attaquant distant peu privilégié pourrait modifier la configuration du service CODESYS V3 via une vulnérabilité d'authentification manquante, ce qui pourrait entraîner un accès complet au système et/ou un déni de service.
Description 🇬🇧 : Deserialization of Untrusted Data vulnerability in Apache HertzBeat.
This vulnerability can only be exploited by authorized attackers.
This issue affects Apache HertzBeat: before 1.6.1.
Users are recommended to upgrade to version 1.6.1, which fixes the issue.
Description 🇫🇷 : Vulnérabilité de désérialisation de données non fiables dans Apache HertzBeat.
Cette vulnérabilité ne peut être exploitée que par des attaquants autorisés.
Ce problème affecte Apache HertzBeat : avant la version 1.6.1.
Il est recommandé aux utilisateurs de mettre à jour vers la version 1.6.1, qui corrige le problème.
Description 🇬🇧 : A vulnerability in the SSL/TLS handler of Cisco Adaptive Security Appliance (ASA) Software could allow an unauthenticated, remote attacker to cause the affected device to reload unexpectedly, leading to a denial of service (DoS) condition.
The vulnerability is due to improper error handling on established SSL/TLS connections. An attacker could exploit this vulnerability by establishing an SSL/TLS connection with the affected device and then sending a malicious SSL/TLS message within that connection. A successful exploit could allow the attacker to cause the device to reload.Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
Description 🇫🇷 : Une vulnérabilité dans le gestionnaire SSL/TLS du logiciel Cisco Adaptive Security Appliance (ASA) pourrait permettre à un attaquant distant non authentifié de provoquer le redémarrage inattendu de l'appareil affecté, entraînant ainsi une condition de déni de service (DoS).
La vulnérabilité est due à une gestion incorrecte des erreurs sur les connexions SSL/TLS établies. Un attaquant pourrait exploiter cette vulnérabilité en établissant une connexion SSL/TLS avec l'appareil affecté, puis en envoyant un message SSL/TLS malveillant dans cette connexion. Une exploitation réussie pourrait permettre à l'attaquant de provoquer le redémarrage de l'appareil. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'existe pas de solution de contournement pour cette vulnérabilité.
Description 🇬🇧 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Egebilgi Software Website Template allows SQL Injection.This issue affects Website Template: before 29.04.2024.
Description 🇫🇷 : Vulnérabilité d'Injection SQL (« SQL Injection ») due à une neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL dans le modèle de site web du logiciel Egebilgi. Ce problème concerne le modèle de site web avant le 29.04.2024.
Description 🇬🇧 : A vulnerability in the CLI of Cisco SD-WAN Software could allow an authenticated, local attacker to create or overwrite arbitrary files on an affected device, which could result in a denial of service (DoS) condition.
The vulnerability is due to insufficient input validation for specific commands. An attacker could exploit this vulnerability by including crafted arguments to those specific commands. A successful exploit could allow the attacker to create or overwrite arbitrary files on the affected device, which could result in a DoS condition.Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
Description 🇫🇷 : Une vulnérabilité dans l'interface en ligne de commande (CLI) du logiciel Cisco SD-WAN pourrait permettre à un attaquant local et authentifié de créer ou de remplacer des fichiers arbitraires sur un appareil affecté, ce qui pourrait entraîner une condition de déni de service (DoS).
La vulnérabilité est due à une validation insuffisante des entrées pour des commandes spécifiques. Un attaquant pourrait exploiter cette vulnérabilité en incluant des arguments conçus pour ces commandes spécifiques. Une exploitation réussie pourrait permettre à l'attaquant de créer ou de remplacer des fichiers arbitraires sur l'appareil affecté, ce qui pourrait entraîner une condition de DoS. Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'existe pas de solution de contournement pour cette vulnérabilité.
Description 🇬🇧 : The WesHacks GitHub repository provides the official Hackathon competition website source code for the Muweilah Wesgreen Hackathon. The page `schedule.html` before 17 November 2024 or commit 93dfb83 contains links to `Leostop`, a site that hosts a malicious injected JavaScript file that occurs when bootstrap is run as well as jquery. `Leostop` may be a tracking malware and creates 2 JavaScript files, but little else is known about it. The WesHacks website remove all references to `Leostop` as of 17 November 2024.
Description 🇫🇷 : Le dépôt GitHub de WesHacks fournit le code source officiel du site web de la compétition de hackathon pour le Muweilah Wesgreen Hackathon. La page `schedule.html` avant le 17 novembre 2024 ou le commit 93dfb83 contient des liens vers `Leostop`, un site qui héberge un fichier JavaScript malveillant injecté qui se déclenche lorsque bootstrap et jquery sont exécutés. `Leostop` pourrait être un logiciel malveillant de suivi et crée 2 fichiers JavaScript, mais peu d'informations sont connues à son sujet. Le site web de WesHacks a supprimé toutes les références à `Leostop` à partir du 17 novembre 2024.
Description 🇬🇧 : Use of Out-of-range Pointer Offset vulnerability in Cesanta Mongoose Web Server v7.14 allows an attacker to send an unexpected TLS packet and produce a segmentation fault on the application.
Description 🇫🇷 : L'utilisation de la vulnérabilité de décalage de pointeur hors limite dans le serveur web Cesanta Mongoose v7.14 permet à un attaquant d'envoyer un paquet TLS inattendu et de provoquer une erreur de segmentation dans l'application.
Description 🇬🇧 : Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Scripteo Ads Booster by Ads Pro allows PHP Local File Inclusion.This issue affects Ads Booster by Ads Pro: from n/a through 1.12.
Description 🇫🇷 : La vulnérabilité de type 'Inclusion de fichier distant PHP' (PHP Remote File Inclusion) dans le programme Scripteo Ads Booster par Ads Pro est due à un contrôle inadéquat du nom de fichier pour les instructions Include/Require en PHP, ce qui permet une Inclusion de Fichier Local PHP. Ce problème affecte Ads Booster par Ads Pro, de la version n/a à 1.12.
Description 🇬🇧 : A low privileged remote attacker can specify an arbitrary file on the filesystem which may lead to an arbitrary file writes with root privileges.
Description 🇫🇷 : Un attaquant distant à faible privilège peut spécifier un fichier arbitraire sur le système de fichiers, ce qui peut entraîner des écritures de fichiers arbitraires avec des privilèges root.
Description 🇬🇧 : A low privileged remote attacker can overwrite an arbitrary file on the filesystem leading to a DoS and data loss.
Description 🇫🇷 : Un attaquant distant à faible privilège peut écraser un fichier arbitraire sur le système de fichiers, entraînant un déni de service et une perte de données.
Description 🇬🇧 : A low privileged remote attacker may modify the boot mode configuration setup of the device, leading to modification of the firmware upgrade process or a denial-of-service attack.
Description 🇫🇷 : Un attaquant distant à faible privilège peut modifier la configuration du mode de démarrage de l'appareil, ce qui peut entraîner la modification du processus de mise à niveau du micrologiciel ou une attaque par déni de service.