🚨CVE info : 🚨
🛠️ Produit concerné : TB-eye network recorders, AHD recorders
📆 Date de publication : 2025-06-27
🎯 Score CVSS v3.1 : 🟠 8.6 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Un problème d'injection de commande OS existe dans plusieurs versions des enregistreurs de réseau TB-Eye et des enregistreurs AHD. Si cette vulnérabilité est exploitée, une commande de système d'exploitation arbitraire peut être exécutée par un attaquant qui se connecte à l'appareil.
🔥 Risques : Exécution de commandes OS arbitraires par un attaquant
💡 Opportunités : Accès à la gestion de l'appareil
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Mitsubishi Electric Corporation G-50, G-50-W, G-50A, GB-50, GB-50A, GB-24A, G-150AD
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Authentification manquante pour la vulnérabilité des fonctions critiques dans Mitsubishi Electric Corporation G-50 Version 3.37 et Prior, G-50-W version 3.37 et Prior, G-50A version 3.37 et Prior, GB-50 version 3.37 et Prior, GB-50A version 3.37 et Prior, GB-24A version 9.12 et Prior, GB-50Ad 3.21 3.21 et Prior, GB-50AD Version 3.21 et Prior, GB-50ADA-A version 3.21 et Prior, GB-50ADA-J version 3.21 et Prior, EB-50GU-A version 7.11
🔥 Risques : Authentification manquante pour des fonctions critiques permettant un accès non autorisé
💡 Opportunités : Exécution de commandes non autorisées, vol d'informations sensibles
🔧 Patch : oui/lien
🧨 Exploit : oui/public
📚 Références :
🚨CVE info : 🚨
🛠️ Produit concerné : Arc
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🔴 9.6 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : ARC AVANT 1.26.1 sur Windows a un problème de contournement dans les paramètres du site qui permet aux sites Web (avec les autorisations précédemment accordées) d'ajouter de nouvelles autorisations lorsque l'utilisateur clique n'importe où sur le site Web.
🔥 Risques : Permet aux sites Web d'ajouter de nouvelles autorisations sans l'intervention de l'utilisateur
💡 Opportunités : Exploitation possible pour contourner les paramètres de sécurité
🔧 Patch : oui/lien non fourni
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Octo-STS
📆 Date de publication : 2025-06-26
🎯 Score CVSS v3.1 : 🟠 8.6 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : OCTO-STS est une application GitHub qui agit comme un service de jeton de sécurité (STS) pour l'API GitHub. Les versions OCTO-STS avant V0.5.3 sont vulnérables au SSRF non authentifié en abusant des champs dans les jetons OpenID Connect. Il a été démontré que les jetons malveillants déclenchent des demandes de réseau interne qui pourraient refléter les journaux d'erreur avec des informations sensibles. Passez à la V0.5.3 pour résoudre ce problème. Cette version comprend des ensembles de correctifs pour désinfecter les entrées et la journalisation de réduction.
🔥 Risques : Vulnérabilité SSRF permettant des requêtes internes non autorisées avec des logs d'erreur exposés
💡 Opportunités : Exploitation possible pour accéder à des ressources internes de GitHub
🔧 Patch : oui/lien non fourni
🧨 Exploit : Exploit public
📚 Références :