Dernières vulnérabilités du Dimanche 3 Septembre 2023

Dernières vulnérabilités du Dimanche 3 Septembre 2023
https://www.securitricks.com/content/images/size/w600/format/webp/2023/12/VULNERABILITIES-REPORTS-LOGO.png
{{titre}}

Dernière mise à jour efféctuée le 03/09/2023 à 23:58:02

(1) Vulnérabilité(s) CRITICAL [9.0, 10.0]

Source : cyber.gov.il

Vulnérabilité ID : CVE-2023-3703

Première publication le : 03-09-2023 15:15:14
Dernière modification le : 03-09-2023 15:15:14

Description :
Proscend Advice ICR Series routers FW version 1.76 - CWE-1392: Use of Default Credentials

CVE ID : CVE-2023-3703
Source : cna@cyber.gov.il
Score CVSS : 10.0

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-1392


(9) Vulnérabilité(s) HIGH [7.0, 8.9]

Source : cyber.gov.il

Vulnérabilité ID : CVE-2023-37221

Première publication le : 03-09-2023 14:15:42
Dernière modification le : 03-09-2023 14:15:42

Description :
7Twenty BOT - CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting').

CVE ID : CVE-2023-37221
Source : cna@cyber.gov.il
Score CVSS : 8.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-39369

Première publication le : 03-09-2023 15:15:13
Dernière modification le : 03-09-2023 15:15:13

Description :
StarTrinity Softswitch version 2023-02-16 - Multiple Reflected XSS (CWE-79)

CVE ID : CVE-2023-39369
Source : cna@cyber.gov.il
Score CVSS : 8.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-39370

Première publication le : 03-09-2023 15:15:13
Dernière modification le : 03-09-2023 15:15:13

Description :
StarTrinity Softswitch version 2023-02-16 - Persistent XSS (CWE-79)

CVE ID : CVE-2023-39370
Source : cna@cyber.gov.il
Score CVSS : 8.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-39371

Première publication le : 03-09-2023 15:15:13
Dernière modification le : 03-09-2023 15:15:13

Description :
StarTrinity Softswitch version 2023-02-16 - Open Redirect (CWE-601)

CVE ID : CVE-2023-39371
Source : cna@cyber.gov.il
Score CVSS : 8.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-601


Vulnérabilité ID : CVE-2023-39372

Première publication le : 03-09-2023 15:15:14
Dernière modification le : 03-09-2023 15:15:14

Description :
StarTrinity Softswitch version 2023-02-16 - Multiple CSRF (CWE-352)

CVE ID : CVE-2023-39372
Source : cna@cyber.gov.il
Score CVSS : 8.1

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-352


Vulnérabilité ID : CVE-2023-39374

Première publication le : 03-09-2023 15:15:14
Dernière modification le : 03-09-2023 15:15:14

Description :
ForeScout NAC SecureConnector version 11.2 - CWE-427: Uncontrolled Search Path Element

CVE ID : CVE-2023-39374
Source : cna@cyber.gov.il
Score CVSS : 7.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-427


Vulnérabilité ID : CVE-2023-39373

Première publication le : 03-09-2023 15:15:14
Dernière modification le : 03-09-2023 15:15:14

Description :
A Hyundai model (2017) - CWE-294: Authentication Bypass by Capture-replay.

CVE ID : CVE-2023-39373
Source : cna@cyber.gov.il
Score CVSS : 7.4

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-294


Vulnérabilité ID : CVE-2023-37220

Première publication le : 03-09-2023 14:15:41
Dernière modification le : 03-09-2023 14:15:41

Description :
Synel Terminals - CWE-494: Download of Code Without Integrity Check

CVE ID : CVE-2023-37220
Source : cna@cyber.gov.il
Score CVSS : 7.2

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-494


Source : huntr.dev

Vulnérabilité ID : CVE-2023-4751

Première publication le : 03-09-2023 19:15:43
Dernière modification le : 03-09-2023 19:15:43

Description :
Heap-based Buffer Overflow in GitHub repository vim/vim prior to 9.0.1331.

CVE ID : CVE-2023-4751
Source : security@huntr.dev
Score CVSS : 7.8

Références :
https://github.com/vim/vim/commit/e1121b139480f53d1b06f84f3e4574048108fa0b | source : security@huntr.dev
https://huntr.dev/bounties/db7be8d6-6cb7-4ae5-9c4e-805423afa378 | source : security@huntr.dev

Vulnérabilité : CWE-122


(10) Vulnérabilité(s) MEDIUM [4.0, 6.9]

Source : patchstack.com

Vulnérabilité ID : CVE-2023-38516

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (contributor+) Stored Cross-Site Scripting (XSS) vulnerability in WP OnlineSupport, Essential Plugin Audio Player with Playlist Ultimate plugin <= 1.2.2 versions.

CVE ID : CVE-2023-38516
Source : audit@patchstack.com
Score CVSS : 6.5

Références :
https://patchstack.com/database/vulnerability/audio-player-with-playlist-ultimate/wordpress-audio-player-with-playlist-ultimate-plugin-1-2-2-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38387

Première publication le : 03-09-2023 12:15:41
Dernière modification le : 03-09-2023 12:15:41

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Elastic Email Sender plugin <= 1.2.6 versions.

CVE ID : CVE-2023-38387
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/elastic-email-sender/wordpress-elastic-email-sender-plugin-1-2-6-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38476

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in SuiteDash :: ONE Dashboard® Client Portal : SuiteDash Direct Login plugin <= 1.7.6 versions.

CVE ID : CVE-2023-38476
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/client-portal-suitedash-login/wordpress-client-portal-suitedash-direct-login-plugin-1-7-3-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38482

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in QualityUnit Post Affiliate Pro plugin <= 1.25.0 versions.

CVE ID : CVE-2023-38482
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/postaffiliatepro/wordpress-post-affiliate-pro-plugin-1-24-9-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38517

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Realwebcare WRC Pricing Tables plugin <= 2.3.7 versions.

CVE ID : CVE-2023-38517
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/wrc-pricing-tables/wordpress-wrc-pricing-tables-plugin-2-3-4-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38518

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Visualmodo Borderless plugin <= 1.4.8 versions.

CVE ID : CVE-2023-38518
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/borderless/wordpress-borderless-plugin-1-4-7-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Vulnérabilité ID : CVE-2023-38521

Première publication le : 03-09-2023 12:15:42
Dernière modification le : 03-09-2023 12:15:42

Description :
Auth. (admin+) Stored Cross-Site Scripting (XSS) vulnerability in Exifography plugin <= 1.3.1 versions.

CVE ID : CVE-2023-38521
Source : audit@patchstack.com
Score CVSS : 5.9

Références :
https://patchstack.com/database/vulnerability/thesography/wordpress-exifography-plugin-1-3-1-cross-site-scripting-xss?_s_id=cve | source : audit@patchstack.com

Vulnérabilité : CWE-79


Source : vuldb.com

Vulnérabilité ID : CVE-2023-4739

Première publication le : 03-09-2023 20:15:13
Dernière modification le : 03-09-2023 20:15:13

Description :
A vulnerability, which was classified as critical, has been found in Beijing Baichuo Smart S85F Management Platform up to 20230820 on Smart. Affected by this issue is some unknown functionality of the file /sysmanage/updateos.php. The manipulation of the argument 1_file_upload leads to unrestricted upload. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-238628. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

CVE ID : CVE-2023-4739
Source : cna@vuldb.com
Score CVSS : 6.3

Références :
https://github.com/Meizhi-hua/cve/blob/main/upload_file.md | source : cna@vuldb.com
https://vuldb.com/?ctiid.238628 | source : cna@vuldb.com
https://vuldb.com/?id.238628 | source : cna@vuldb.com

Vulnérabilité : CWE-434


Vulnérabilité ID : CVE-2023-4740

Première publication le : 03-09-2023 20:15:14
Dernière modification le : 03-09-2023 20:15:14

Description :
A vulnerability, which was classified as critical, was found in IBOS OA 4.5.5. This affects an unknown part of the file ?r=email/api/delDraft&archiveId=0 of the component Delete Draft Handler. The manipulation leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-238629 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

CVE ID : CVE-2023-4740
Source : cna@vuldb.com
Score CVSS : 6.3

Références :
https://github.com/RCEraser/cve/blob/main/sql_inject.md | source : cna@vuldb.com
https://vuldb.com/?ctiid.238629 | source : cna@vuldb.com
https://vuldb.com/?id.238629 | source : cna@vuldb.com

Vulnérabilité : CWE-89


Source : cyber.gov.il

Vulnérabilité ID : CVE-2023-37222

Première publication le : 03-09-2023 15:15:12
Dernière modification le : 03-09-2023 15:15:12

Description :
Farsight Tech Nordic AB ProVide version 14.5 - Multiple XSS vulnerabilities (CWE-79) can be exploited by a user with administrator privilege.

CVE ID : CVE-2023-37222
Source : cna@cyber.gov.il
Score CVSS : 4.8

Références :
https://www.gov.il/en/Departments/faq/cve_advisories | source : cna@cyber.gov.il

Vulnérabilité : CWE-79


(0) Vulnérabilité(s) LOW [0.1, 3.9]

(1) Vulnérabilité(s) NO SCORE [0.0, 0.0]

Source : apache.org

Vulnérabilité ID : CVE-2023-41180

Première publication le : 03-09-2023 16:15:10
Dernière modification le : 03-09-2023 16:15:10

Description :
Incorrect certificate validation in InvokeHTTP on Apache NiFi MiNiFi C++ versions 0.13 to 0.14 allows an intermediary to present a forged certificate during TLS handshake negotation. The Disable Peer Verification property of InvokeHTTP was effectively flipped, disabling verification by default, when using HTTPS. Mitigation: Set the Disable Peer Verification property of InvokeHTTP to true when using MiNiFi C++ versions 0.13.0 or 0.14.0. Upgrading to MiNiFi C++ 0.15.0 corrects the default behavior.

CVE ID : CVE-2023-41180
Source : security@apache.org
Score CVSS : /

Références :
https://lists.apache.org/thread/b51f8csysg1pvgs6xjjrq5hrjrvfot1y | source : security@apache.org

Vulnérabilité : CWE-295


Ce site web utilise l'API de la NVD, mais n'est pas approuvé ou certifié par la NVD.

About the author
Julien B.

Securitricks

Up-to-Date Cybersecurity Insights & Malware Reports

Securitricks

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Securitricks.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.