L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.
Historique des vulnérabilités traitées par Vigil@nce :

vulnérabilité 17240

WordPress Erident Custom Login and Dashboard : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de WordPress Erident Custom Login and Dashboard, afin de forcer la victime à effectuer des opérations.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17240.

Description de la vulnérabilité

Le plugin Erident Custom Login and Dashboard peut être installé sur WordPress.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Erident Custom Login and Dashboard, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 17239

Joomla HDVideoShare : traversée de répertoire

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires de Joomla HDVideoShare, afin de lire un fichier situé hors de la racine du service.
Produits concernés : Joomla Extensions ~ non exhaustif.
Gravité : 2/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17239.

Description de la vulnérabilité

L'extension HDVideoShare peut être installée sur Joomla.

Cependant, les données provenant de l'utilisateur sont directement insérées dans un chemin d'accès. Les séquences comme "/.." permettent alors de remonter dans l'arborescence.

Un attaquant peut donc traverser les répertoires de Joomla HDVideoShare, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 17238

Google Chrome, Chromium : contournement du filtrage anti-XSS

Synthèse de la vulnérabilité

Un attaquant peut contourner le filtre anti-XSS de Google Chrome et Chromium, afin de d'exécuter du code dans le contexte du site Web.
Produits concernés : Chrome, Opera.
Gravité : 2/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17238.

Description de la vulnérabilité

Les produits Google Chrome et Chromium ont un filtre qui tente de détecter les attaques de type XSS.

Cependant, il est possible de faire accepter un fragment de script dans une image incluse au format SVG lorsque le début du script correspond à une expression régulière utilisée par le filtre.

Il est possible que ceci corresponde à l'une des vulnérabilités indiquées dans VIGILANCE-VUL-17212.

Un attaquant peut donc contourner le filtre anti-XSS de Google Chrome et Chromium, afin de d'exécuter du code JavaScript dans le contexte du site Web.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 17237

Joomla Simple Image Upload : upload de fichier

Synthèse de la vulnérabilité

Un attaquant peut télécharger un fichier malveillant sur Joomla Simple Image Upload, afin par exemple de déposer un Cheval de Troie.
Produits concernés : Joomla Extensions ~ non exhaustif.
Gravité : 3/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17237.

Description de la vulnérabilité

L'extension Simple Image Upload peut être installée sur Joomla.

Il peut être utilisé pour télécharger un fichier. Cependant, comme le type du fichier n'est pas restreint, un fichier PHP peut donc être téléchargé sur le serveur, puis exécuté avec une requête sur l'URL correspondante.

Un attaquant peut donc télécharger un fichier malveillant sur Joomla Simple Image Upload, afin par exemple de déposer un Cheval de Troie.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 17236

ArcGIS for Desktop, Server : multiple Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ArcGIS for Desktop, ArcGIS for Server.
Gravité : 2/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17236.

Description de la vulnérabilité

Le produit ArcGIS for Desktop, Server dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être enregistrées puis insérées dans les documents HTML générés.

Un attaquant peut donc provoquer plusieurs Cross Site Scripting de ArcGIS for Desktop, Server, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 17235

WordPress huge-it-slider : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de WordPress huge-it-slider, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : WordPress Plugins ~ non exhaustif.
Gravité : 2/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17235.

Description de la vulnérabilité

Le plugin huge-it-slider peut être installé sur WordPress.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress huge-it-slider, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2015-6508 CVE-2015-6509 CVE-2015-6510

pfSense Web GUI : multiples Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer des Cross Site Scripting de pfSense Web GUI, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : pfSense.
Gravité : 2/4.
Date création : 25/06/2015.
Références : CVE-2015-6508, CVE-2015-6509, CVE-2015-6510, CVE-2015-6511, pfSense-SA-15_06.webgui, VIGILANCE-VUL-17234.

Description de la vulnérabilité

Le produit pfSense dispose d'un interface homme machine web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés ou enregistrées de manière permanente. L'annonce liste les pages et paramètres de requête concernés.

Un attaquant peut donc provoquer des Cross Site Scripting de pfSense Web GUI, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 17233

Microsoft Internet Explorer : contournement de ASLR

Synthèse de la vulnérabilité

Un attaquant peut deviner l'organisation de la mémoire d'un processus Microsoft Internet Explorer, afin de faciliter l'attaque suivante.
Produits concernés : IE.
Gravité : 1/4.
Date création : 25/06/2015.
Références : VIGILANCE-VUL-17233.

Description de la vulnérabilité

Le produit Microsoft Internet Explorer utilise une gestion mémoire spéciale pour les structures de données utilisées pour le rendu d'une page.

Cependant, un effet de bord de ces mesures de protection est de permettre un contournement de l'ASLR, le placement par le noyau des segments de mémoire (code, données globales, piles) à des adresses aléatoires, dont le rôle est de compliquer les attaques par injection de code (débordements de tampon ou utilisation de mémoire libérée). Contourner cela facilite donc ce type d'attaque.

Un attaquant peut donc deviner l'organisation de la mémoire d'un processus Microsoft Internet Explorer, afin de faciliter les étapes suivantes de l'attaque.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2015-4223

Cisco IOS XR : déni de service via LDP

Synthèse de la vulnérabilité

Un attaquant peut envoyer un paquet LDP mal formé vers Cisco IOS XR, afin de mener un déni de service.
Produits concernés : Cisco ASR, IOS XR Cisco.
Gravité : 2/4.
Date création : 25/06/2015.
Références : 39509, CVE-2015-4223, VIGILANCE-VUL-17232.

Description de la vulnérabilité

Le produit Cisco IOS XR met en œuvre le protocole LDP pour la gestion de MPLS.

Le protocole LDP alloue et distribue les numéros de circuit utilisés dans les en-têtes MPLS. Cependant, lorsqu'un paquet spécialement mal formée est reçu, une erreur fatale se produit dans le process serveur, ce qui conduit à son arrêt et à son redémarrage.

Un attaquant peut donc envoyer un paquet LDP mal formé vers Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-4219

Cisco Secure Access Control System : authentification failble

Synthèse de la vulnérabilité

Un attaquant peut calculer un jeton d'authentification pour Cisco Secure Access Control System, afin d'obtenir des informations sensibles.
Produits concernés : Secure ACS.
Gravité : 2/4.
Date création : 25/06/2015.
Références : 39501, CVE-2015-4219, VIGILANCE-VUL-17231.

Description de la vulnérabilité

Le produit Cisco Secure Access Control System utilise un mécanisme de jetons pour indiquer l'identité du client.

Cependant, le jeton d'authentification est protégé contre l'usurpation par des algorithmes faibles, ce qui permet à un attaquant d'obtenir un jeton valide par recherche exhaustive, et ainsi d'avoir accès aux fichiers se le système.

Un attaquant peut donc calculer un jeton d'authentification pour Cisco Secure Access Control System, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

Page précédente   Page suivante

Accès à la page 1 21 41 61 81 101 121 141 161 181 201 221 241 261 281 301 321 341 361 381 401 421 441 461 481 501 521 541 561 581 601 621 641 661 681 701 721 741 761 781 801 821 841 861 881 901 921 941 961 981 1001 1021 1041 1061 1081 1101 1121 1141 1161 1181 1201 1221 1241 1261 1281 1301 1321 1341 1361 1381 1401 1421 1441 1461 1481 1501 1521 1541 1561 1581 1601 1611 1612 1613 1614 1615 1616 1617 1618 1619 1620 1621 1622 1623 1624 1625 1626 1627 1628 1629 1630 1631 1641 1661 1681 1701 1721 1741 1761 1781 1801 1821 1841 1861 1881 1901 1921 1941 1961 1981 2001 2021 2041 2049