🚨CVE info : 🚨
🛠️ Produit concerné : WeGIA
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Wegia est responsable du Web pour les institutions caritatives. Avant la version 3.4.2, une vulnérabilité d'injection de commande OS a été identifiée dans le point de terminaison /html/configuracao/debug_info.php. Le paramètre de branche n'est pas correctement désinfecté avant d'être concaténé et exécuté dans une commande shell sur le système d'exploitation du serveur. Ce défaut permet à un attaquant non authentifié d'exécuter des commandes arbitraires sur le serveur avec les privilèges de l'utilisateur du serveur Web (www-data). Ce problème a été corrigé en versio
🔥 Risques : Injection de commandes OS possible, compromettant le serveur
💡 Opportunités : Exécution de commandes arbitraires sur le serveur
🔧 Patch : oui/lien
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : pgai
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🔴 9.1 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : PGAI est une bibliothèque Python qui transforme PostgreSQL en un moteur de récupération pour les applications de chiffon et d'agence. Avant de commettre 8EB3567, le référentiel PGAI était vulnérable à une attaque permettant l'exfiltration de tous les secrets utilisés dans un seul flux de travail. En particulier, le github_token avec des autorisations d'écriture pour le référentiel, permettant à un attaquant de falsifier tous les aspects du référentiel, notamment en poussant du code et des versions arbitraires. Ce problème a été corrigé dans Commit 8EB3567.
🔥 Risques : exfiltration des secrets incluant le GITHUB_TOKEN avec permissions d'écriture
💡 Opportunités : extraction des secrets sensibles
🔧 Patch : oui - Lien du patch
🧨 Exploit : Exploit public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Non précisé
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : N/A
📄 Description : La plate-forme d'orchestration SD-WAN Versa Director qui utilise le service d'application Cisco NCS. Les directeurs actifs et de veille communiquent sur les ports TCP 4566 et 4570 pour échanger des informations à haute disponibilité (HA) à l'aide d'un mot de passe partagé. Les versions affectées du réalisateur de Versa sont liées à ces ports sur toutes les interfaces. Un attaquant qui peut accéder au directeur de Versa pourrait accéder au service NCS sur le port 4566 et l'exploiter pour effectuer des actions administratives non autorisées et effectuer un code distant Executio
🔥 Risques : N/A
💡 Opportunités : N/A
🔧 Patch : N/A
🧨 Exploit : N/A
📚 Références :
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
- 🔗 support@hackerone.com
🛠️ Produit concerné : Non précisé
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🔴 9.9 (CRITICAL)
🧪 Vecteur CVSS : N/A
📄 Description : Une vulnérabilité permettant l'exécution du code distant (RCE) sur le serveur de sauvegarde par un utilisateur de domaine authentifié
🔥 Risques : N/A
💡 Opportunités : N/A
🔧 Patch : N/A
🧨 Exploit : N/A
📚 Références :
🛠️ Produit concerné : Non précisé
📆 Date de publication : 2025-06-19
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : N/A
📄 Description : Le logiciel Versa Director expose un certain nombre de services par défaut et permettent aux attaquants de prendre pied en raison des informations d'identification par défaut et de plusieurs comptes (la plupart avec l'accès sudo) qui utilisent les mêmes informations d'identification par défaut. Par défaut, le directeur de Versa expose SSH et Postgres à Internet, aux côtés d'une multitude d'autres services.
Versa Networks n'est au courant d'aucun cas signalé où cette vulnérabilité a été exploitée. La preuve de concept de cette vulnérabilité a été divulguée par un tiers SECU
🔥 Risques : N/A
💡 Opportunités : N/A
🔧 Patch : N/A
🧨 Exploit : N/A
📚 Références :