Faille critique sur Synology DSM

En lire plus sur CVEDETAILS Tout le monde connait Synology aussi bien dans les PME, TPE que chez les particuliers. De plus beaucoup par commodité laisse leur NAS en libre accès sur le net. Une simple recherche sur shodan montre 2 850 000 Synology référencé dont 158 000 en France. Cette faille est donc loin […]
Faille critique sur le logiciel de visioconférence Zoom

Plus d’infos sur CVEDETAILS Une faille CVE vient d’être découverte sur les clients ZOOM pour Windows, Linux, Macos et Android. Toutes les versions inférieures a 5.12.2 sont impactées. L’attaque est relativement simple, il suffit de transmettre un lien zoom pour une visioconférence. La faille est dans le système de parsing de l’url qui permet au […]
Faille critique sur GLPI 10.0.2

En lire plus sur CVEDETAIL GLPI est un logiciel opensource de gestionnaire de parc informatique. Très utilisé par les SI dans les entreprises il contient des informations critiques tels que les mots de passe, les bases de données, les informations sur les serveurs et équipements connectés. Arriver à pénétrer dans le GLPI d’une entreprise c’est […]
Multiples failles CVE sur Roxy-wi

Roxy-wi est une web interface en python permettant de paramétrer une infrastructure pour une haute disponibilité via haproxy, nginx ou apache. En ce mois de juillet 2022 , nous avons 4 failles de sécurité CVE critiques : CVE-2022-31161 CVE-2022-31137 CVE-2022-31126 CVE-2022-31125 Les versions impactées sont celles < 6.1.1.0 En lire plus sur CVEDETAILS Exemple d […]
OpenCart faille CVE sur le module newsletter

Cliquez ici Opencart a une nouvelle faille de type SQL INJECTION sur le module newsletter en version v3.x. la cyberattaque se fait via le paramètre emez_newsletter_email accessible depuis l’url /index.php?route=extension/module/zemez_newsletter/addNewsletter Procédure Vous aurez besoin de burpsuite et sqlmap . Avec Burpsuite rendez vous dur l url : http://127.0.0.1/index.php?route=extension/module/zemez_newsletter/addNewsletter enregistrer la requête puis avec sqlmap : […]
Faille CVE Zimbra Collaboration Open Source 8.8.15

En savoir plus sur CVEDETAILS Voila une faille de cybersécurité qui est un peu particulière. Le principe est vraiment tout bête. Soheil Samanabadi et Ali Ahmadi, les auteurs de la CVE, ont découvert que lors de la création d’un utilisateur via la commande zmprove ca le mot de passe est envoyer en clair dans le […]
Failles critiques CVE sur les automates SIEMENS SIMATIC

En savoir plus sur CVEDETAILS Les automates SIMATIC sont très utilisés dans l’industrie. Trois failles CVE critiques viennent d’être révélée. Les équipements ciblés sont : SIMATIC CP 1242-7 V2 (All versions < V3.3.46) SIMATIC CP 1243-1 (All versions < V3.3.46) SIMATIC CP 1243-7 LTE EU (All versions < V3.3.46) SIMATIC CP 1243-7 LTE US (All […]
Multiples failles CVE sur VICIdial

En savoir plus sur CVEDETAILS VICIdial est une plateforme opensource de call center. Elle est même très utilisée. On trouve même dans GHDB une entrée pour les localiser. inurl:agc/vicidial.php Nous avons 5 failles CVE sur la version 2.14b0.5 update 3555. CVE-2022-34879 CVE-2022-34878 CVE-2022-34877 CVE-2022-34876 CVE-2021-46557 La criticité de ces failles vont de 3.5 à 9. […]
Faille CVE SQL Injection sur le CMS OpenCART plugin So Filter Shop v3.x

Cliquez ici Opencart est un CMS typé boutique. Il est vulnérable via le plugin so filter shop à une cyberattaque de type SQL INJECTION. La version v3.x du plugin permet une attaque via les paramètres : att_value_id manu_value_id opt_value_id subcate_value_id sur l’url /index.php?route=extension/module/so_filter_shop_by/filter_data Il n’y a pour le moment aucun patch pour combler cette faille […]
Faille SQL Injection sur plugin LUX de TYPO3

Cliquez ici TYPO3 est un CMS assez connu. Une petite recherche sur GHDB permet de vite trouver des cibles potentielles. Ici nous avons affaire à une faille de type SQL INJECTION sur un plugin tiers. Le plugin incriminé est « LUX – TYPO3 Marketing Automation ». L’extension ne parvient pas à nettoyer correctement les entrées de l’utilisateur […]