CVE-2021-3162

Docker Bureau communautaire avant 2.5.0.0 sur la vérification des certificats de macOS, conduisant à une escalade des privilèges locaux. https://docs.docker.com/docker-for-mac/release-notes/#docker-desktop-community-2500https://twitter.com/_r3ggihttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3162

CVE-2021-3139

Dans Open-iSCSI 1.3.x TCMU-runner, 1.4.x et 1.5.x par 1.5.2, xcopy_locate_udev à tcmur_cmd_handler.c manque un contrôle des restrictions de la couche de transport, ce qui permet des attaquants distants ou de lire des fichiers d’écriture par directory traversal dans une demande XCOPY. Par exemple, une attaque …

Lire plus

CVE-2021-3138

Dans le discours par beta1 2.7.0, une limite de taux de dérivation conduit à une dérivation de l’exigence 2FA pour certaines formes. https://blog.discourse.org/https://github.com/Mesh3l911/Disourcehttps://github.com/discourse/discourse/releaseshttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3138

CVE-2021-3134

Mubu 2.2.1 permet aux utilisateurs locaux d’obtenir des privilèges d’exécuter des commandes, alias CNVD-2020-68878. http://mubu.com/doc/d5501245199https://www.cnvd.org.cn/flaw/show/2638444https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3134

CVE-2021-3133

Le plug-in Form Elementor Contactez DB avant 1.6 pour WordPress permet CSRF via les pages admin back-end. https://plugins.trac.wordpress.org/changeset/2454670/https://wordpress.org/plugins/sb-elementor-contact-form-db/#developershttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3133

CVE-2021-3131

Le serveur Web dans 1C: Enterprise 8 avant 8.3.17.1851 envoie des informations d’identification base64 dans le paramètre URL creds. https://github.com/jet-pentest/CVE-2021-3131https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3131

CVE-2021-3129

Allumage avant 2.5.2, tel qu’il est utilisé dans Laravel et d’autres produits, permet à des attaquants distants non authentifiés de d’exécuter du code arbitraire en raison de l’utilisation de l’insécurité file_get_contents () et file_put_contents (). Ceci est exploitable sur des sites en utilisant le mode …

Lire plus

CVE-2021-3121

Un problème a été découvert à GoGo Protobuf avant 1.3.2. plugin / unmarshal / unmarshal.go manque certaine validation d’index, alias la question ""de beurre d’arachide Skippy"". https://github.com/gogo/protobuf/commit/b03c65ea87cdc3521ede29f62fe3ce239267c1bchttps://github.com/gogo/protobuf/compare/v1.3.1…v1.3.2https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3121

CVE-2021-3116

before_upstream_connection à AuthPlugin http / proxy / auth.py dans proxy.py avant 2.3.1 accepte incorrecte des données d’en-tête Proxy-Authorization en raison d’une confusion booléenne (et contre ou). https://cardaci.xyz/advisories/2021/01/10/proxy.py-2.3.0-broken-basic-authentication/https://github.com/abhinavsingh/proxy.py/pull/482/commits/9b00093288237f5073c403f2c4f62acfdfa8ed46https://pypi.org/project/proxy.py/2.3.1/#historyhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3116

CVE-2021-3111

Tableau de bord de l’Express Entrées en Concrete5 8.5.4 permet stockée XSS via le champ de nom d’un nouvel objet de données à un index.php / tableau de bord / express / entrées / view / URI. https://documentation.concrete5.org/developers/introduction/version-historyhttps://github.com/Quadron-Research-Lab/CVE/blob/main/CVE-2021-3111.pdfhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3111

CVE-2021-3032

Une exposition de l’information par la vulnérabilité du fichier journal existe à Palo Alto Networks logiciel PAN-OS où les secrets de configuration pour le & # 8220; http & # 8221 ;, & # 8220; email & # 8221 ;, et & # 8220; snmptrap …

Lire plus

CVE-2021-3031

Rembourrage octets dans des paquets Ethernet PA-200, PA-220, PA-500, PA-800, série PA-2000, série PA-3000, série PA-3200, série PA-5200 et PA-7000 pare-feu de la série ne sont pas dégagé avant la trame de données est créée. Cette fuite d’une petite quantité d’informations au hasard de la …

Lire plus