19°C
ciel dégagé
LLMs are bad at generating passwords: There are strong noticeable patterns among these 50 passwords that can be seen easily: All of the passwords start with a letter, usually uppercase G, almost always followed by the digit 7. Character choices...
[This is a Guest Diary by Austin Bodolay, an ISC intern as part of the SANS.edu BACS program] Over the past several months, I have gained practical insight into the challenges of deploying and operating a honeypot, even within a relatively simple...
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
[This is a guest diary contributed by Claire Perry (LinkedIn)] The structural integrity of modern society is predicated upon a dense and often opaque network of interconnected systems. For decades, the modeling of these systems remained siloed...
All it takes to poison AI training data is to create a website: I spent 20 minutes writing an article on my personal website titled âThe best tech journalists at eating hot dogs.â Every word is a lie. I claimed (without evidence) that competitive...
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
In 2010, OWASP added "Unvalidated Redirects and Forwards" to its Top 10 list and merged it into "Sensitive Data Exposure" in 2013. Open redirects are often overlooked, and their impact is not always well understood. At first, it does not look...
Politicians fixate on the global race for technological supremacy between US and China. They debate geopolitical implications of chip exports, latest model releases from each country, and military applications of AI. Someday, they believe, we...
Bruno is a Windows Active Directory box. Iâll start by finding a .NET sample scanning application on FTP, and after reverse engineering it, discover a ZipSlip vulnerability in how it handles zip archives. Combining that with a DLL hijack, Iâll...
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Je colle ci-dessous mes notes que je commenterai ensuite Mardi 17 février vers 10h15Bus [xxx]Un homme taille moyenne blanc lunettes noires bonnet barbe courte.Il agresse verbalement le chauffeur en haussant la voix et en le traitant de connard.Le...
In his last two diaries, Xavier discussed recent malware campaigns that download JPEG files with embedded malicious payload[1,2]. At that point in time, Iâve not come across the malicious âMSI imageâ myself, but while I was going over malware...
Good article on password managers that secretly have a backdoor. New research shows that these claims arenât true in all cases, particularly when account recovery is in place or password managers are set to share vaults or organize users into...
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Giveback starts with a WordPress website with a donation plugin thatâs vulnerable to a RCE exploit. Iâll get a shell in a Kubernetes pod, and use it to scan an internal legacy app running PHP-CGI. Iâll abuse a vulnerability in that application to...
Introduction For at least the past year or so, I've been receiving Japanese-language phishing emails to my blog email addresses at @malware-traffic-analysis.net. I'm not Japanese, but I suppose my blog's email addresses ended up on a list used by...
This is a fix for option âyarastrings. rtfdump_V0_0_15.zip (http)MD5: C70F327DDC11B549A399B2F85B2B9607SHA256: 9EFDEB5978372BD93065BCDAB6486DAECA4CB7E2EDA15DD5BD4C98AF69FB19A7
I like this one. As usual, you can also use this squid post to talk about the security stories in the news that I havenât covered. Blog moderation policy.
Itâs a demonstration of how toxic the surveillance-tech company Flock has become when Amazonâs Ring cancels the partnership between the two companies. As Hamilton Nolan advises, remove your Ring doorbell.
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Aucun article de sécurité disponible
Injection SQL dans le fichier /loging.php permettant Ă un attaquant distant de rĂ©aliser une exĂ©cution Ă distance. L'exploit a Ă©tĂ© divulguĂ© publiquement et peut ĂȘtre utilisĂ©. Impact critique sur les systĂšmes de gestion de documents.
Injection SQL dans le fichier /newsportal/admin/edit-category.php permettant Ă un attaquant distant de rĂ©aliser une exĂ©cution Ă distance. L'exploit a Ă©tĂ© divulguĂ© publiquement et peut ĂȘtre utilisĂ©. Impact critique sur les portails d'actualitĂ©s.
Stored XSS via $data click event handler dans l'interface de facturation permettant à des utilisateurs malveillants d'injecter des payloads JS et de voler des cookies de session. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Ăcriture de fichiers YAML arbitraires via le point de terminaison CreateNewDAG permettant une exĂ©cution de code Ă distance. Impact critique sur les systĂšmes utilisant des workflows.
Injection SQL dans le fichier /admin/add-category.php permettant Ă un attaquant distant de rĂ©aliser une exĂ©cution Ă distance. L'exploit a Ă©tĂ© divulguĂ© publiquement et peut ĂȘtre utilisĂ©. Impact critique sur les portails d'actualitĂ©s.
DĂ©bordement de tampon dans le fichier food_ordering.exe permettant une exĂ©cution de code arbitraire. L'exploit a Ă©tĂ© divulguĂ© publiquement et peut ĂȘtre utilisĂ©. Impact critique sur les systĂšmes de commande de nourriture.
Désactivation par défaut de la vérification SSL/TLS dans le wrapper client HTTP permettant des attaques de l'homme du milieu (MITM). Impact critique sur les systÚmes de gestion des dossiers médicaux.
Vulnérabilité de phishing via les liens Secure Messaging permettant à un attaquant de tromper les utilisateurs. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Stored XSS dans le formulaire d'évaluation de l'anxiété GAD-7 permettant le détournement de session et l'élévation des privilÚges. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Redirection vers des URL externes arbitraires via le module de formulaire d'examen ophtalmologique permettant des attaques de phishing. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Lecture de fichiers arbitraires sur le systÚme de fichiers via la méthode disposeDocument() permettant à des utilisateurs authentifiés de lire des fichiers sensibles. Impact critique sur les systÚmes de gestion des dossiers médicaux.
AccÚs non autorisé aux journaux EDI via l'endpoint edih_main.php permettant à des utilisateurs authentifiés de lire des journaux sensibles. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Exportation non autorisée de la liste des messages contenant des données sensibles des patients via le rapport message_list.php. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Visualisation non autorisée des informations des utilisateurs autorisés via une faille de contrÎle d'accÚs. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Ajout et modification non autorisés des types de procédures via une faille de contrÎle d'accÚs dans le systÚme de gestion des types d'ordres. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Détournement de session via l'utilisation de certificats auto-signés CA permettant à un attaquant de prendre le contrÎle de l'appareil. Impact critique sur les systÚmes de gestion de configuration.
Divulgation d'informations de contact via une faille de contrÎle d'accÚs permettant à des utilisateurs non autorisés de lire des informations sensibles. Impact critique sur les systÚmes de gestion des dossiers médicaux.
Ăcriture de fichiers arbitraires via le traversal de chemin permettant une exĂ©cution de code Ă distance persistante. Impact critique sur les systĂšmes utilisant des bundlers de modules.
Contournement des conditions de politique dans les téléchargements POST pré-signés permettant des téléchargements de fichiers non autorisés. Impact critique sur les systÚmes de stockage d'objets distribués.
XSS réfléchi dans le composant RepoCard permettant l'exécution de scripts arbitraires dans le contexte de l'utilisateur. Impact critique sur les composants React.
XSS stocké dans les événements permettant l'exécution de scripts arbitraires dans le contexte de l'administrateur. Impact critique sur les systÚmes de suivi d'erreurs auto-hébergés.
Exécution de commandes à distance non authentifiée via des valeurs JSON extraites de webhooks permettant une exécution de code arbitraire. Impact critique sur les systÚmes fournissant un accÚs à des commandes shell via une interface web.
Boucle infinie via un fichier PDF crafté permettant un déni de service. Impact critique sur les bibliothÚques PDF.
Hijacking de templates serveur via des templates personnalisés permettant l'exécution de code arbitraire. Impact critique sur les systÚmes de gestion d'inventaire.
XSS stocké dans la console de gestion permettant le vol de credentials administrateur et la prise de contrÎle du systÚme. Impact critique sur les systÚmes de stockage d'objets distribués.
Corruption de mémoire via la manipulation de la fonction vips_foreign_load_matrix_file_is_a permettant une exécution de code arbitraire. Impact critique sur les bibliothÚques de traitement d'images.
Déréférencement de pointeur nul via la manipulation de la fonction vips_foreign_load_matrix_header permettant un déni de service. Impact critique sur les bibliothÚques de traitement d'images.
Ăchappement des limites de sĂ©curitĂ© permettant une exĂ©cution de code Ă distance. Impact critique sur les sandboxes JavaScript sĂ©curisĂ©s.
Utilisation de contenu HTML non sécurisé permettant l'exécution de scripts arbitraires. Impact critique sur les applications de gestion de signets.
Téléchargement de fichiers non autorisés permettant une exécution de code à distance. Impact critique sur les systÚmes de support client.
Génération de tokens d'authentification prévisibles permettant une prise de contrÎle totale du compte administrateur. Impact critique sur les systÚmes de support client.
Injection de template serveur via des noms de fichiers manipulés permettant une exécution de code à distance. Impact critique sur les systÚmes de téléchargement de fichiers.
Injection SQL non authentifiĂ©e permettant une exĂ©cution de requĂȘtes SQL arbitraires. Impact critique sur les plugins de gestion de rĂ©fĂ©rents.
ExĂ©cution de code Ă distance non authentifiĂ©e via des paramĂštres de requĂȘte non validĂ©s. Impact critique sur les plugins de gestion de tickets.
ExĂ©cution de code Ă distance authentifiĂ©e via des donnĂ©es de requĂȘte non validĂ©es. Impact critique sur les plugins de traduction d'interface.
XSS réfléchi permettant l'exécution de scripts arbitraires dans le contexte de l'utilisateur. Impact critique sur les plugins de jeux.
Injection SQL authentifiĂ©e permettant l'exĂ©cution de requĂȘtes SQL arbitraires. Impact critique sur les plugins de traduction d'interface.
Débordement de tampon sur le tas via la manipulation de la fonction vips_foreign_load_csv_build permettant une exécution de code arbitraire. Impact critique sur les bibliothÚques de traitement d'images.
Exposition d'informations via des identifiants de session permettant un détournement de session. Impact critique sur les systÚmes de gestion de configuration.
Contournement des restrictions de pair IPv4 mappé IPv6 permettant des connexions non autorisées. Impact critique sur les serveurs TURN et STUN.
XSS réfléchi permettant l'exécution de scripts arbitraires dans le contexte de l'utilisateur. Impact critique sur les outils de détection de changements de pages web.
Injection SQL via username permettant la prise de contrĂŽle du systĂšme de gestion d'Ă©tablissements scolaires.
Injection SQL via course_code permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Injection SQL via teacher_id permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Injection SQL via email permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Injection SQL via teacher_id permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Injection SQL via Username permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
SSRF via file_get_contents permettant de lire des fichiers arbitraires sur le serveur.
Injection SQL via pagetitle permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Débordement de tampon via mit_ssid permettant une exécution de code à distance.
XSS stocké via l'attribut 'logoTag' permettant l'exécution de scripts arbitraires.
Débordement de tampon via page permettant une exécution de code à distance.
Débordement de tampon via webSiteId permettant une exécution de code à distance.
Débordement de tampon via page permettant une exécution de code à distance.
Traversal de répertoire via des slashs encodés en pourcentage permettant d'écrire des fichiers en dehors du répertoire courant.
Débordement de tampon via page permettant une exécution de code à distance.
Modification et suppression de données non autorisées via des points de terminaison REST API non sécurisés.
Exécution de code à distance via des callbacks non sécurisés dans le gestionnaire AJAX.
Injection SQL via le paramĂštre 'sort' permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
SSRF via la fonction ajax_upload_image permettant d'envoyer des requĂȘtes Ă des destinations arbitraires.
XSS via les paramÚtres firstname/lastname permettant l'exécution de scripts arbitraires.
AccÚs non autorisé aux données via des fonctions AJAX non sécurisées.
Insertion de méta-données protégées non autorisées via l'API REST.
XSS stocké via le shortcode 'ays_block' permettant l'exécution de scripts arbitraires.
CSRF permettant d'ajouter des URL de redirection non autorisées.
Manipulation des paramĂštres pathPattern permettant de crĂ©er des PersistentVolumes dans des emplacements arbitraires sur le nĆud hĂŽte.
Utilisation de certificats auto-signés CA avec l'option -skip-verify permettant des attaques MITM.
Exposition de credentials sensibles via les arguments de la ligne de commande.
Restauration des en-tĂȘtes LUKS sans autorisation permettant un dĂ©ni de service via la corruption des mĂ©tadonnĂ©es de chiffrement.
Exportation des métadonnées de chiffrement sans autorisation permettant la lecture de données sensibles.
Injection de requĂȘtes GraphQL non validĂ©es permettant un dĂ©ni de service de la plateforme.
Contournement de l'authentification permettant un accÚs non authentifié au systÚme.
AccÚs non autorisé aux points de terminaison des permissions des applications permettant des actions non autorisées.
Redirection ouverte dans le flux de création de projet React permettant des redirections non autorisées.
Absence d'autorisation permettant aux développeurs de projet d'ajouter des paramÚtres aux configurations de build.
Contournement d'autorisation via messageId permettant des actions non autorisées.
Utilisation de mot de passe par défaut via userId permettant des actions non autorisées.
Débordement de tampon sur le tas lors du traitement de profils ICC permettant une exécution de code arbitraire.
Lecture de tampon hors limites lors du traitement de profils ICC permettant un déni de service.
Ăpuisement des capacitĂ©s de DynamoDB via des requĂȘtes frĂ©quentes Ă partir d'un seul utilisateur.
Traversal de chemin via downloadToDir permettant une écriture de fichiers en dehors du répertoire prévu.
Prévisibilité des identifiants temporaires permettant des attaques de manipulation de contenu.
Téléchargement de fichiers non restreint permettant des actions non autorisées.
Ăpuisement de la mĂ©moire lors de l'analyse de paquets USB HID permettant un dĂ©ni de service.
Plantage lors de l'analyse de paquets NTS-KE permettant un déni de service.
Plantage lors de l'analyse de paquets RF4CE Profile permettant un déni de service.
Extraction des credentials administratifs via les réponses API permettant une prise de contrÎle totale du systÚme.
Contournement des restrictions de l'adresse IP source via getConnInfo permettant des actions non autorisées.
Ăvaluation de code non sĂ©curisĂ©e permettant une exĂ©cution de code arbitraire sur le serveur.
AccÚs non autorisé aux informations sensibles via le mécanisme de jumelage mesh.
Traversal de chemin via templateName permettant des actions non autorisées.
Redémarrage du processus LLDP via des paquets craftés permettant un déni de service.
Déni de service via des paquets Ethernet craftés envoyés à l'interface de gestion.
Exécution de commandes arbitraires via des entrées utilisateur non validées permettant une prise de contrÎle totale du systÚme.
AccÚs non autorisé à des actions privilégiées via des permissions excessives accordées à des utilisateurs en lecture seule.
DĂ©ni de service via des requĂȘtes SNMP craftĂ©es permettant un plantage du noyau.
Boucle de trafic Layer 2 via des paquets Ethernet craftés permettant un déni de service.
XSS stocké via des pages d'interface web permettant l'exécution de scripts arbitraires.
Injection de commandes via des entrées utilisateur non validées permettant une élévation de privilÚges.
Redémarrage du dispositif via des commandes CLI craftées permettant un déni de service.
Ăcriture de fichiers arbitraires via l'API permettant une Ă©lĂ©vation de privilĂšges.
Contournement de l'authentification API permettant une prise de contrĂŽle totale du systĂšme.
Contournement de l'authentification Peering permettant une prise de contrĂŽle totale du systĂšme.
AccÚs non autorisé aux privileges DCA via un fichier de credentials permettant une élévation de privilÚges.
AccÚs non autorisé au rÎle netadmin via une faille d'authentification API permettant une prise de contrÎle totale du systÚme.
Lecture de données sensibles via une faille de contrÎle d'accÚs permettant une divulgation d'informations.
SSRF via la fonctionnalité 'Add Link' permettant l'exfiltration de données sensibles.
Injection de commandes OS via des caractÚres shell métacharacter permettant une exécution de code arbitraire.
Redirection ouverte via l'URL errorRedirectUrl permettant des redirections non autorisées.
SSRF via url permettant des actions non autorisées.
Authentification incorrecte via _authenticate permettant des actions non autorisées.
CSRF via /send_transaction permettant des actions non autorisées.
Exécution de code via le framework de détection d'anomalies permettant une prise de contrÎle totale du systÚme.
RCE via des entrées utilisateur non validées dans le cache permettant une exécution de code arbitraire.
SSRF via des redirections automatiques non validées permettant des actions non autorisées.
AccÚs non autorisé aux services réseau via une rÚgle de pare-feu mal configurée.
Authentification manquante via get_private_key permettant des actions non autorisées.
Contournement d'autorisation via le point de terminaison de signature du portail patient permettant la falsification de signature.
Injection SQL via le point de terminaison API patient permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
AccÚs non autorisé aux données des documents et assurances via une faille de contrÎle d'accÚs.
Contournement de l'expiration de session via le paramĂštre skip_timeout_reset permettant une session persistante.
Injection SQL via la liste des prescriptions permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
AccÚs non autorisé à l'état du visualiseur DICOM via une faille de contrÎle d'accÚs.
AccÚs non autorisé à la photo du patient via une faille de contrÎle d'accÚs.
AccÚs non autorisé aux formulaires de rencontre via une faille de contrÎle d'accÚs.
Définition de variables de pipeline non autorisée via des travaux déclenchés manuellement permettant des actions non autorisées.
Déni de service via des déclencheurs CI craftés permettant une interruption de service.
Injection de commande via des paramÚtres non validés permettant une exécution de code arbitraire.
XSS stocké via des benchmarks personnalisés permettant l'exécution de scripts arbitraires.
XSS réfléchi via le message d'erreur 500 permettant le vol de tokens de session.
ĂnumĂ©ration de noms d'utilisateurs via les messages d'erreur de connexion permettant la divulgation d'informations.
XSS stocké via les rÚgles personnalisées permettant l'exécution de scripts arbitraires.
XSS stocké via les métadonnées RSE permettant l'exécution de scripts arbitraires.
XSS stocké via le nom d'identité permettant l'exécution de scripts arbitraires.
XSS stocké via l'attribut personnalisé RSE permettant l'exécution de scripts arbitraires.
Lecture de mémoire non initialisée via des paquets WIRE_TO_SURFACE_2 PDU craftés permettant une exécution de code arbitraire.
Incohérence dans le pilote CLFS.sys permettant un plantage du systÚme.
Déni de service via des fichiers craftés envoyés au point de terminaison de l'événement du registre de conteneurs.
Injection de scripts via le bac à sable Mermaid permettant l'exécution de scripts arbitraires.
DĂ©ni de service via des entrĂ©es craftĂ©es dans le point de terminaison de fusion des requĂȘtes.
DĂ©ni de service via des requĂȘtes craftĂ©es dans le point de terminaison des Ă©vĂ©nements Jira.
DĂ©ni de service via des requĂȘtes craftĂ©es dans le point de terminaison de l'API des travaux CI.
Modification non autorisée des paquets Conan protégés via des permissions insuffisantes.
ĂlĂ©vation de privilĂšges via des privilĂšges d'administrateur insuffisants dans vCenter.
Débordement de tampon dans le pipeline de surface GDI permettant une exécution de code arbitraire.
Débordement de tampon dans le décodeur RLE planar permettant une exécution de code arbitraire.
Déni de service via des réponses volumineuses de l'importateur Bitbucket.
Fuite de mémoire via un débordement de tampon dans l'index de construction parallÚle permettant un plantage du serveur de base de données.
Injection SQL via les fonctions de gestion utilisateur permettant l'exĂ©cution de requĂȘtes SQL arbitraires.
Lecture de fichiers de configuration contenant des credentials via une traversée de chemin.
Injection HTML via le paramÚtre de filtre permettant l'exécution de scripts arbitraires.
Utilisation de mots de passe faibles permettant une prise de contrĂŽle persistante du compte.
Téléchargement de fichiers SVG non sécurisés permettant l'exécution de scripts arbitraires.
Traversée de chemin via des chemins ZIP craftés permettant une écriture de fichiers arbitraires.
Boucle bloquante infinie via Stream_EnsureCapacity permettant un déni de service.
Modification de données non autorisée via une vérification de capacité insuffisante permettant une suppression et une modification d'événements.
ContrÎle d'accÚs incorrect via verifyRoleAccess permettant des actions non autorisées.
Injection de commandes via des noms de fichiers craftés permettant une exécution de code arbitraire.
Lecture de mémoire hors limites via le gestionnaire de format DJVU permettant un déni de service.
Lecture de mémoire hors limites via le gestionnaire de format DJVU permettant un déni de service.
Traversée de chemin via des noms de fichiers ZIP craftés permettant une écriture de fichiers arbitraires.
SSRF via le point de terminaison Link Check permettant une exfiltration de données sensibles.
Fuite de session via des en-tĂȘtes Cache-Control mal configurĂ©s permettant un vol de session.
Ăvasion de sandbox via des liens symboliques pointant vers des chemins externes permettant une exĂ©cution de code arbitraire.
Installation de plugins tar.gz non sécurisés permettant une exécution de code arbitraire.
Contournement des restrictions de domaine d'image via des valeurs de configuration non validĂ©es permettant des requĂȘtes SSRF.
Lecture de mémoire hors limites permettant un déni de service.
Contournement de la protection contre la pollution de prototype via des chemins de propriété imbriqués permettant une exécution de code arbitraire.
Utilisation de tokens JWT tronqués permettant des actions non autorisées.
Ăcriture de fichiers arbitraires via des noms de fichiers craftĂ©s permettant une exĂ©cution de code arbitraire.
Traversée de chemin via le paramÚtre 'src' permettant la lecture de fichiers arbitraires.
Attaque d'élargissement de portée via des annotations non sécurisées permettant une récupération non autorisée des credentials.
ĂlĂ©vation de privilĂšges via des paramĂštres utilisateur non validĂ©s permettant une prise de contrĂŽle totale du systĂšme.
Fuite de credentials sensibles via des logs de débogage non sécurisés permettant une exfiltration de données.
Backtracking récursif non borné via des motifs glob craftés permettant un déni de service.
Quantificateurs imbriqués non bornés via des motifs glob craftés permettant un déni de service.
Injection de commandes OS via des workflows GitHub Actions non sécurisés permettant une exécution de code arbitraire.
Exécution de workflows GitHub Actions non sécurisés permettant une prise de contrÎle totale du systÚme.
AccÚs non autorisé aux formulaires d'examen ophtalmologique via une faille de contrÎle d'accÚs.
XSS réfléchi via le paramÚtre setck permettant l'exécution de scripts arbitraires.
Ăvasion de sandbox via l'Ă©valuateur de code personnalisĂ© permettant une exĂ©cution de code arbitraire.
Injection de commandes via l'API ctx.hostname permettant une exécution de code arbitraire.
Injection de template serveur via l'évaluateur de template permettant une exécution de code arbitraire.
Injection de prompt via le nĆud CSV Agent permettant une exĂ©cution de code arbitraire.
Utilisation de tokens de dépÎt expirés via une vérification de validité insuffisante permettant des actions non autorisées.
XSS stocké via des métadonnées de bibliothÚque craftées permettant l'exécution de scripts arbitraires.
XSS stocké via les attributs title et value du shortcode [labb_pricing_item] permettant l'exécution de scripts arbitraires.
XSS stocké via la zone de texte 'Watched domains' permettant l'exécution de scripts arbitraires.
XSS stocké via les paramÚtres d'administration permettant l'exécution de scripts arbitraires.
XSS stocké via les paramÚtres d'administration permettant l'exécution de scripts arbitraires.
XSS stocké via le champ customer_name permettant l'exécution de scripts arbitraires.
Contournement de l'authentification via l'utilisateur nouvellement enregistré permettant une prise de contrÎle du compte.
XSS stocké via des métadonnées de bibliothÚque craftées permettant l'exécution de scripts arbitraires.
XSS via des métadonnées de bibliothÚque craftées permettant l'exécution de scripts arbitraires.
Référence d'objet direct non sécurisée via la fonction register_member permettant la suppression de comptes utilisateur non autorisée.
Cute and simple to use, the One Fire Star Projector is the perfect addition to any childâs bedroom.
Few sci-fi characters have exceeded their original programming quite like Voyager's Emergency Medical Hologram.
Hereâs how to use optics to get the most from February's planetary parade.
Tips for capturing the total lunar eclipse on March 3, 2026, from knowing what to expect and finding clear skies to using mirrorless cameras and smartphones
The nebula is possibly being produced by a type of unstable star called a WolfâRayet star.
In the distant reaches of the solar system are many icy objects that resemble snowmen. Now, a new study reveals the simple way in which these mysterious objects might form.
A SpaceX Dragon cargo capsule will undock from the International Space Station today (Feb. 26), and you can watch its departure live.
Earth Observatory Science Earth Observatory Dry-Season Floods Drench⊠Earth Earth Observatory Image of the Day EO Explorer Topics All Topics Atmosphere Land Heat & Radiation Life on Earth Human Dimensions Natural Events Oceans Remote Sensing...
NASA has returned its Artemis 2 moon rocket to the Vehicle Assembly Building, where engineers can diagnose and repair an issue with the vehicle's upper stage.
Credit: NASA The Aerospace Safety Advisory Panel (ASAP), which advises NASA and Congress on safety, has released its 2025 annual report on NASAâs performance and challenges. While the panel acknowledged NASAâs safety achievements, it warned that...
Our thoughts on the worldâs first dedicated 360-degree drone â the Antigravity A1.
Astronomers have used the LOFAR telescope array to create the largest radio survey of the cosmos, revealing 13.7 million cosmic scenes, including supermassive black holes, merging galaxies, and supernova explosions.
'We stick together. That's how we win this.'
NASA astronaut and SpaceX Crew-12 Pilot Jack Hathaway enters the International Space Station after docking aboard the Dragon spacecraft to join Expedition 74 and begin a long-duration microgravity research mission.NASA/Chris Williams NASA...
NASAâs crawler-transporter 2, carrying NASAâs Artemis 2 SLS (Space Launch System) rocket with the Orion spacecraft secured to mobile launcher 1, rolls back Wednesday, Feb. 25, 2026, to the Vehicle Assembly Building at NASAâs Kennedy Space Center...
NASA has shed more light on last month's early end to SpaceX's Crew-11 mission to the International Space Station (ISS), at the request of the astronaut who experienced the medical issue that caused their return.
The blood moon phase will be visible across swathes of North America before dawn on March 3.
6 Min Read Listen to This Monthâs âPlanetary Paradeâ With NASAâs Chandra In late February, people in the Northern Hemisphere can look up for a special sight : Six planets will all be visible from clear and dark night skies. New sonifications from...
Save almost 40% on the Lego Star Wars Tantive IV set, a buildable replica of the iconic ship from where the franchise started in 'A New Hope'.
Discover the best camera system for you and your astrophotography with our comprehensive guide covering the major brands.
Aucun article spatial disponible
Les Ray-Ban Meta, c'est quand mĂȘme le gadget parfait pour les voyeurs technophiles. Ce sont quand mĂȘme des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors...
Amazon, fournisseur officiel de mauvaises idées en matiÚre de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! à partir du 25 mars, si quelqu'un vous achÚte un cadeau via votre liste de souhaits Amazon, le vendeur tiers...
Vous voulez désactiver l'IA dans votre navigateur ? Bonne chance pour les couillons qui utilisent Chrome... faut passer par 5 réglages planqués dans chrome://settings et chrome://flags, tripatouiller des flags expérimentaux, bref, c'est un vrai...
Un dungeon crawler dans l'explorateur de fichiers Windows c'est maintenant une réalité grùce à Directory Dungeon qui transforme votre arborescence de fichiers en donjon, avec monstres, du loot et des combats au tour par tour. Du coup forcément,...
Standard Intelligence vient d'annoncer FDM-1, un modÚle IA capable de contrÎler n'importe quel ordinateur... en regardant l'écran et en cliquant. Comme nous !! En gros le modÚle regarde des pixels, comprend l'interface et exécute des actions....
Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite......
Si vous utilisez Notion au quotidien et que vous avez toujours rĂȘvĂ© de piloter vos bases de donnĂ©es depuis un terminal... y'a enfin un truc qui tient la route. Ăa s'appelle notion-cli , c'est un binaire Go qui embarque 39 commandes couvrant TOUTE...
Des faux entretiens d'embauche avec des repos GitHub vĂ©rolĂ©s pour piĂ©ger les devs Next.js... on croit rĂȘver et pourtant, Microsoft vient de documenter cette campagne ciblĂ©e et vous allez voir, c'est violent. En fait, un groupe de hackers se fait...
Hey mais on dirait bien que c'est Red Hat qui débarque sur le marché des apps desktop pour conteneurs... mais lol ! Car oui, pendant que Docker Desktop trÎne depuis des années et qu'OrbStack séduit de plus en plus d'utilisateurs macOS, Red Hat se...
Claude Code tourne en local et c'est son gros avantage car ça permet par exemple d'agir sur votre machine, de lancer des scripts...etc. Mais c'est aussi sa grosse limite car Ă cause de ça, vous ĂȘtes clouĂ© devant votre terminal. J'Ă©tais en quĂȘte...
Bonne nouvelle pour ceux qui en ont raz la casquette de se taper des allers-retours entre Figma et VS Code ! Parce qu'avec Onlook , l'Ă©diteur visuel open source qui vous permet de modifier le design de vos apps React directement dans le...
Les clĂ©s API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hĂ© bien elles ne sont plus si inoffensives. Car depuis que Gemini est entrĂ© dans la danse, ces mĂȘmes clĂ©s donnent maintenant accĂšs Ă vos fichiers privĂ©s et...
-- Article en partenariat avec Surfshark VPN -- Salut les amis du net ! Aujourd'hui, on va encore parler d'un outil que j'utilise au quotidien et dont on me demande souvent des nouvelles : Surfshark VPN. Pas de blabla corporate, pas de langue de...
Vous allez halluciner... Le Pentagone américain vient de poser un ultimatum à Anthropic. C'est Pete Hegseth, le patron du désormais "Department of War" (oui, Trump a rebaptisé le Pentagone par executive order... no comment...), exige que la boite...
Si vous bossez sur des serveurs distants, vous connaissez cette douleur... D'un cÎté, vous avez votre terminal local aux petits oignons, vos alias, vos plugins... et hop, un petit ssh root@serveur et vous vous retrouvez avec un shell tout pourri,...
Si vous avez lu mon article sur Meshtastic , vous savez dĂ©jĂ que les rĂ©seaux mesh LoRa, c'est le genre de truc qui fait rĂȘver tous les geeks en manque de hors-piste numĂ©rique. Mais y'a un cran au-dessus, et ça s'appelle Reticulum . En gros, c'est...
MultiDrive, c'est un outil Windows gratuit pour cloner, sauvegarder et effacer vos disques. Jusque-là , rien de foufou... sauf que derriÚre, y'a Atola Technology. Et dans le monde du forensic numérique, Atola c'est pas n'importe qui (labos...
Un développeur espagnol vient de prendre le contrÎle de plus de 10 000 appareils DJI (dont 7 000 robots aspirateurs Romo - lien affilié) répartis dans 24 pays... en voulant juste piloter le sien avec une manette PS5. Oui oui c'est un grand malade...
WorldMonitor , c'est un dashboard open source qui agrÚge en temps réel à peu prÚs TOUT ce qui se passe sur la planÚte. Géopolitique, conflits armés, marchés financiers, menaces cyber, catastrophes naturelles, trafic maritime... le tout sur une...
AsteroidOS , c'est une distro Linux open source qui tourne... sur des montres connectées ! Oui oui, du manchot au poignet et l'idée en fait, c'est de virer WearOS et toute la télémétrie Google qui va avec, pour le remplacer par un OS libre sans...
Aucun article geek disponible