🚨CVE info : 🚨
🛠️ Produit concerné : Cisco ISE, Cisco ISE-PIC
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🔴 10.0 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Une vulnérabilité dans une API interne de Cisco ISE et Cisco ISE-PIC pourrait permettre à un attaquant distant non authentifié de télécharger des fichiers arbitraires sur un appareil affecté, puis d'exécuter ces fichiers sur le système d'exploitation sous-jacent comme racine.
Cette vulnérabilité est due à un manque de vérifications de validation des fichiers qui empêcheraient les fichiers téléchargés d'être placés dans des répertoires privilégiés sur un système affecté. Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant un fichier fabriqué sur l'appareil affecté. Un Suc
🔥 Risques : Permet à un attaquant distant non authentifié de télécharger des fichiers arbitraires et d'exécuter du code en tant que root
💡 Opportunités : Exécution de code à distance
🔧 Patch : oui [lien non fourni]
🧨 Exploit : oui/public
📚 Références :
🛠️ Produit concerné : MICROSENS NMP Web+
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : MicroSens NMP Web + pourrait permettre à un attaquant non authentifié de générer des jetons Web JSON forgés (JWT) pour contourner l'authentification.
🔥 Risques : Permet la génération de JWT forgés pour contourner l'authentification
💡 Opportunités : Accès non autorisé au système
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :
🛠️ Produit concerné : MICROSENS NMP Web+
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🟠 8.7 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : MicroSens NMP Web + Contient des jetons Web JSON (JWT) qui n'expirent pas, ce qui pourrait permettre à un attaquant d'accéder au système.
🔥 Risques : Permet aux attaquants d'accéder au système en raison de tokens JWT sans expiration
💡 Opportunités : Accès prolongé non autorisé
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :
🛠️ Produit concerné : MICROSENS NMP Web+
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🔴 9.3 (CRITICAL)
🧪 Vecteur CVSS : Accès réseau
📄 Description : MicroSens NMP Web +
pourrait permettre à un attaquant non authentifié de remplacer les fichiers et d'exécuter du code arbitraire.
🔥 Risques : Permet à un attaquant non authentifié d'écraser des fichiers et d'exécuter du code arbitraire
💡 Opportunités : Prise de contrôle du système
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :
🛠️ Produit concerné : jackson-core
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🟠 8.7 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Jackson-core contient des abstractions de l'analyseur incrémentiel ("streaming") de bas niveau de base (streaming ") utilisé par le processeur de données Jackson. Dans les versions antérieures à 2.15.0, si un utilisateur analyse un fichier d'entrée et qu'il a des données profondément imbriquées, Jackson pourrait finir par lancer un RackOverflowerror si la profondeur est particulièrement importante. Jackson-Core 2.15.0 contient une limite configurable pour la profondeur de Jackson dans un document d'entrée, défaut à une profondeur admissible de 1000.
🔥 Risques : Peut provoquer une erreur de débordement de pile lors de l'analyse de données profondément imbriquées
💡 Opportunités : Plantage du serveur
🔧 Patch : oui [lien non fourni]
🧨 Exploit : non
📚 Références :
🛠️ Produit concerné : AccuWeather, Custom RSS Widget
📆 Date de publication : 2025-06-25
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : Accès réseau
📄 Description : Une vulnérabilité de script inter-sites existe dans le widget RSS Accuweather et personnalisé qui permet à un utilisateur non authentifié de remplacer l'URL d'alimentation RSS par une URL malveillante.
🔥 Risques : Permet à un utilisateur non authentifié de remplacer l'URL du flux RSS par une URL malveillante
💡 Opportunités : Injection de contenu malveillant
🔧 Patch : non
🧨 Exploit : oui/public
📚 Références :