🚨CVE info : 🚨
🛠️ Produit concerné : pbkdf2
📆 Date de publication : 2025-06-23
🎯 Score CVSS v3.1 : 🔴 9.1 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une vulnérabilité de validation d'entrée incorrecte dans PBKDF2 permet une usurpation de signature par une mauvaise validation. Cette vulnérabilité est associée aux fichiers de programme lib / to-buffer.js.
Ce problème affecte PBKDF2: de 3.0.10 à 3.1.2.
🔥 Risques : Signature Spoofing due to improper input validation
💡 Opportunités : attaques ciblant la validation des signatures
🔧 Patch : oui, lien: pbkdf2 repository
🧨 Exploit : Exploit public
📚 Références :
- 🔗 7ffcee3d-2c14-4c3e-b844-86c6a321a158
- 🔗 7ffcee3d-2c14-4c3e-b844-86c6a321a158
- 🔗 7ffcee3d-2c14-4c3e-b844-86c6a321a158
🛠️ Produit concerné : pbkdf2
📆 Date de publication : 2025-06-23
🎯 Score CVSS v3.1 : 🔴 9.1 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : La vulnérabilité de validation d'entrée incorrecte dans PBKDF2 permet l'usurpation de signature par une mauvaise validation. Ce problème affecte Pbkdf2: <= 3.1.2.
🔥 Risques : Signature Spoofing due to improper input validation
💡 Opportunités : exploitation des failles de validation des signatures
🔧 Patch : oui, lien: pbkdf2 repository
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Visionatrix
📆 Date de publication : 2025-06-23
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Visionatrix est un outil de traitement des médias AI utilisant Comfyui. Dans les versions 1.5.0 à avant 2.5.1, le point de terminaison / Docs / Flows est vulnérable à une attaque XSS réfléchie (script de site transversal) permettant une prise de contrôle complète de l'application et l'exfiltration des secrets stockés dans l'application. L'implémentation utilise la fonction get_swagger_ui_html à partir de fastapi. Cette fonction ne codera pas ou ne désinfecte pas ses arguments avant de les utiliser pour générer le HTML pour la page de documentation Swagger et n'est pas destiné à
🔥 Risques : prise de contrôle totale de l'application, exfiltration de secrets
💡 Opportunités : exécution d'attaques de phishing, compromission des données
🔧 Patch : oui/lien disponible sur le site du produit
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Psono-Client (Bitdefender SecurePass)
📆 Date de publication : 2025-06-21
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Une vulnérabilité de script inter-sites (XSS) a été identifiée dans la gestion des entrées Vault de Psono-Client de Type Site Web_password et Bookmark, tel qu'utilisé dans Bitdefender SecurePass. Le client ne désinfectue pas correctement le champ URL de ces entrées. En conséquence, un attaquant peut élaborer une entrée de coffre-fort malveillante (ou inciter un utilisateur à en créer ou à en importer un) avec un javascript: URL. Lorsque l'utilisateur interagit avec cette entrée (par exemple, en le cliquant ou en l'ouvrant), l'application exécutera le MAL
🔥 Risques : Exécution de script à distance via XSS
💡 Opportunités : Injection de scripts malveillants dans les entrées de stockage
🔧 Patch : non
🧨 Exploit : oui
📚 Références :