ISC Stormcast For Tuesday, June 16th, 2026 https://isc.sans.edu/podcastdetail/9974, (Tue, Jun 16th)
16/06/2026 02:00(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Copilot 'SearchLeak' Attack Allows 1-Click Data Theft
15/06/2026 19:27The critical, three-stage attack is now patched, but it's part of a new group of AI prompt-injection issues that use hidden URLs and other variables.
China-Nexus Actor Spy on US Researchers Undetected for a Year
15/06/2026 17:00Google discovered and disrupted the sprawling campaign, which stole RedCAP credentials to target numerous institutions and exfiltrate sensitive data.
Most CISOs Report Pressure to Bury Bad Security News
15/06/2026 16:45Executive leaders may not be saying it aloud, but business objectives and priorities don't always promote timely disclosures.
The Beginning of the End of Social Engineering
15/06/2026 15:08AI-native operating systems are shifting the responsibility to stay vigilant against social engineering cyberattacks from the user onto the system itself.
US Cracks Down on Anthropic AI Models Amid Abuse Concerns
15/06/2026 12:17Anthropic abruptly suspended all access to Fable 5 and Mythos 5 after receiving an export control directive that banned foreign nationals from using the technology.
The FCC Wants to Eliminate Burner Phones
15/06/2026 11:01A proposed FCC rule would kill burner phones: phones whose accounts are not attached to a particular person. The FCC plans to do this by legally forcing the country’s telecoms to store a wealth of personal information about essentially all phone...
RL economics, morally charged terms, and "distillation"
15/06/2026 08:49After a number of Twitter discussions, and repeating myself a lot in these discussions, it is time to write a short note on the economics of advancing LLM capabilities through RL, about principles of propaganda and coining new words, and about my...
Evil MSI Background: BASE64 Statistical Analysis, (Mon, Jun 15th)
15/06/2026 07:16I like it when a fellow handler posts a diary entry about images with malicious content. Last one is Xavier: "The Evil MSI Background is Back!". I like to have a go at the sample with my tools, and see if there are any improvements I can make to...
ISC Stormcast For Monday, June 15th, 2026 https://isc.sans.edu/podcastdetail/9972, (Mon, Jun 15th)
15/06/2026 02:00(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Upcoming Speaking Engagements
14/06/2026 16:07This is a current list of where and when I am scheduled to speak: I’m giving a keynote at Cybernation 2026 in Berlin, Germany, on June 24, 2026. I’m speaking at the Potsdam Conference on National Cybersecurity at the Hasso Plattner Institut in...
HTB: VariaType
13/06/2026 13:45VariaType hosts a pair of websites for a font foundry, a Flask-based font generator and a PHP validation portal. I’ll recover the portal’s source from an exposed Git repository to get credentials, and then abuse a single-pass filter bypass in its...
Friday Squid Blogging: Squid-Inspired Fluid Pump
12/06/2026 21:05This fluid pump was inspired by the way squids propel themselves through the water. As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered. Blog moderation policy.
ShinyHunters Uses Oracle Zero-Day to Rampage Higher Ed
12/06/2026 20:26A major bug in Oracle's ERP software disproportionately affected American universities, and hackers have capitalized by stealing gobs of data.
Claude Fable 5 Doesn't Change the Mythos Security Story
12/06/2026 13:01Stay cool: Mythos 5 is an upgrade over Mythos Preview while Fable 5 is Mythos "made safe for general use," Anthropic explained.
ISC Stormcast For Friday, June 12th, 2026 https://isc.sans.edu/podcastdetail/9970, (Fri, Jun 12th)
12/06/2026 12:30(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Bernie Sanders’ AI Sovereign Wealth Fund Plan
12/06/2026 11:03Let no one accuse Bernie Sanders of ducking the big questions. Writing in the New York Times last week, the senator asked: “Will the future of humanity be determined by a handful of billionaires who have promoted and developed AI, with virtually...
Aucun article de sécurité disponible
CVE-2026-52704 : WooCommerce PDF Invoice Builder
Hier / Aujourd'huiUne injection de code dans WooCommerce PDF Invoice Builder permet l'inclusion de code à distance. Les versions jusqu'à 2.0.8 sont vulnérables à l'exécution de code malveillant via des entrées non contrôlées.
Score: 10.0
CVE-2026-40772 : GeekyBot
Hier / Aujourd'huiCette vulnérabilité de téléchargement de fichier arbitraire non authentifié permet à un attaquant d'uploader des fichiers malveillants, pouvant conduire à une exécution de code à distance et une compromission totale du serveur. Le score maximal...
Score: 10.0
CVE-2026-48836 : Easy Invoice
Hier / Aujourd'huiCette vulnérabilité critique d'exécution de code à distance non authentifiée dans Easy Invoice permet à un attaquant d'exécuter du code arbitraire sur le serveur. Cela peut entraîner une compromission totale du site, y compris l'accès aux données...
Score: 10.0
CVE-2026-39591 : WP-BusinessDirectory
Hier / Aujourd'huiCe téléchargement de fichier arbitraire par un abonné permet d'exécuter du code malveillant, avec un score très élevé dû à l'impact potentiel. L'impact est critique car peut mener à une prise de contrôle totale du site.
Score: 9.9
CVE-2026-49766 : WP User Manager
Hier / Aujourd'huiCette vulnérabilité de suppression arbitraire de fichiers par un abonné permet à un utilisateur authentifié de supprimer des fichiers critiques du serveur. L'impact est très élevé car elle peut entraîner une perte de données et une...
Score: 9.9
CVE-2026-8935 : WP MAPS PRO WordPress plugin
Hier / Aujourd'huiAction AJAX non authentifiée créant un compte administrateur et un lien de connexion magique, permettant une prise de contrôle totale du site.
Score: 9.8
CVE-2018-25436 : WordPress Baggage Freight Shipping Australia
Hier / Aujourd'huiUn téléchargement de fichier sans restriction dans upload-package.php permet à un attaquant non authentifié de télécharger des fichiers arbitraires. L'absence de validation des extensions permet l'exécution de code à distance en téléchargeant des...
Score: 9.8
CVE-2026-9862 : Core Privileged Access Manager (BoKS)
Hier / Aujourd'huiUne injection de commandes OS dans le service d'enregistrement automatique permet à un attaquant distant d'exécuter des commandes arbitraires. Cela compromet totalement le système.
Score: 9.8
CVE-2026-48114 : Metacat
Hier / Aujourd'huiMetacat versions 2.0.0 et supérieures contient une injection SQL non authentifiée dans le point de terminaison /harvesterRegistration. Cela permet un accès complet en lecture/écriture/exécution dans le contexte de la base de données, avec un...
Score: 9.8
CVE-2026-27053 : Broadcast Live Video
Hier / Aujourd'huiCette vulnérabilité d'injection d'objets PHP non authentifiée dans Broadcast Live Video permet à un attaquant d'exécuter du code arbitraire. Les versions antérieures à 7.1.3 sont impactées.
Score: 9.8
CVE-2026-34901 : iControlWP
Hier / Aujourd'huiCette vulnérabilité critique d'escalade de privilèges non authentifiée permet à un attaquant distant d'obtenir un accès administrateur complet sans aucune identification. Elle expose l'ensemble du site à une compromission totale, incluant la...
Score: 9.8
CVE-2026-39583 : Datalogics Ecommerce Delivery
Hier / Aujourd'huiCette escalade de privilèges non authentifiée permet à un attaquant d'obtenir un accès administrateur sans aucune identification, représentant une menace critique. L'impact est maximal car il permet un contrôle total du site.
Score: 9.8
CVE-2026-49085 : WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms
Hier / Aujourd'huiUn attaquant non authentifié peut injecter des objets PHP, permettant une exécution de code à distance. Cela compromet totalement le serveur, avec un impact critique sur la confidentialité, l'intégrité et la disponibilité.
Score: 9.8
CVE-2026-49104 : Integration for Keap/infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms
Hier / Aujourd'huiCette vulnérabilité d'injection d'objets PHP non authentifiée permet à un attaquant d'exécuter du code arbitraire à distance sans nécessiter d'authentification. L'impact est critique car elle compromet totalement la confidentialité, l'intégrité...
Score: 9.8
CVE-2026-49105 : WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée expose le système à une exécution de code à distance. Un attaquant peut exploiter cette faille pour prendre le contrôle total du serveur, affectant gravement la sécurité des données.
Score: 9.8
CVE-2026-49106 : Integration for Contact Form 7 and Constant Contact
Hier / Aujourd'huiCette vulnérabilité critique permet à un attaquant non authentifié d'injecter des objets PHP malveillants. L'exploitation réussie peut entraîner une compromission totale du site, incluant la divulgation de données sensibles.
Score: 9.8
CVE-2026-49109 : Integration for Salesforce and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée représente un risque majeur pour la sécurité. Un attaquant peut exécuter du code arbitraire à distance, compromettant l'ensemble du système et des données associées.
Score: 9.8
CVE-2026-49763 : Integration for Contact Form 7 HubSpot
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée expose le système à une exécution de code à distance critique. Un attaquant peut exploiter cette faille pour prendre le contrôle total du site WordPress.
Score: 9.8
CVE-2026-49764 : RegistrationMagic
Hier / Aujourd'huiCette vulnérabilité d'authentification brisée non authentifiée permet à un attaquant de contourner les contrôles d'accès. L'impact est critique car elle peut permettre une escalade de privilèges et une compromission totale du système.
Score: 9.8
CVE-2026-49765 : Integration for Mailchimp and Contact Form 7, WPForms, Elementor, Ninja Forms
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée constitue une menace sérieuse pour la sécurité. Un attaquant peut exécuter du code arbitraire à distance, compromettant la confidentialité et l'intégrité des données.
Score: 9.8
CVE-2026-49768 : Happyforms
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée expose le système à une exécution de code à distance. Un attaquant peut exploiter cette faille pour prendre le contrôle total du site WordPress.
Score: 9.8
CVE-2026-49769 : wpForo Forum
Hier / Aujourd'huiCette vulnérabilité critique permet à un attaquant non authentifié d'injecter des objets PHP malveillants. L'exploitation réussie peut entraîner une compromission totale du forum et des données utilisateur.
Score: 9.8
CVE-2026-49770 : WP Travel Engine
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée représente un risque majeur pour la sécurité. Un attaquant peut exécuter du code arbitraire à distance, compromettant l'ensemble du système de réservation.
Score: 9.8
CVE-2026-49781 : OttoKit
Hier / Aujourd'huiCette injection d'objets PHP non authentifiée expose le système à une exécution de code à distance critique. Un attaquant peut exploiter cette faille pour prendre le contrôle total du site WordPress.
Score: 9.8
CVE-2026-9691 : Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms
Hier / Aujourd'huiUne injection d'objets PHP non authentifiée dans l'intégration pour ActiveCampaign et divers formulaires jusqu'à la version 1.1.1. Un attaquant peut exécuter du code arbitraire à distance, compromettant totalement le serveur.
Score: 9.8
CVE-2026-52703 : FastDup
Hier / Aujourd'huiUne vulnérabilité de type Path Traversal non authentifiée affecte FastDup jusqu'à la version 2.7.2. Un attaquant peut accéder à des fichiers en dehors du répertoire autorisé, compromettant la confidentialité et l'intégrité du système.
Score: 9.6
CVE-2026-39441 : Feed KuantoKusta for WooCommerce – Free
Hier / Aujourd'huiUne injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes SQL arbitraires sur la base de données, pouvant extraire ou modifier des données sensibles. Cette vulnérabilité critique expose l'ensemble des données du site, y...
Score: 9.3
CVE-2026-39492 : WP Maps
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes malveillantes sur la base de données. L'impact est critique car cela peut entraîner une divulgation complète des données ou une prise de contrôle du site. Une mise...
Score: 9.3
CVE-2026-39493 : Simply Schedule Appointments
Hier / Aujourd'huiCette injection SQL non authentifiée expose la base de données à des attaques, permettant la lecture ou la modification de données sensibles. L'impact est critique car aucune authentification n'est requise pour l'exploitation. Les utilisateurs...
Score: 9.3
CVE-2026-39502 : Form Maker by 10Web
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes malveillantes sur la base de données. L'impact est critique car cela peut entraîner une divulgation complète des données ou une prise de contrôle du site. Une mise...
Score: 9.3
CVE-2026-39511 : WP Photo Album Plus
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes malveillantes sur la base de données. L'impact est critique car cela peut entraîner une divulgation complète des données ou une prise de contrôle du site. Une mise...
Score: 9.3
CVE-2026-39512 : GeoDirectory
Hier / Aujourd'huiCette injection SQL non authentifiée expose la base de données à des attaques, permettant la lecture ou la modification de données sensibles. L'impact est critique car aucune authentification n'est requise pour l'exploitation. Les utilisateurs...
Score: 9.3
CVE-2026-39519 : GeekyBot
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes malveillantes sur la base de données. L'impact est critique car cela peut entraîner une divulgation complète des données ou une prise de contrôle du site. Une mise...
Score: 9.3
CVE-2026-39530 : SpeakOut! Email Petitions
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes malveillantes sur la base de données, pouvant entraîner une fuite de données sensibles ou une prise de contrôle complète. Le score élevé reflète la criticité de...
Score: 9.3
CVE-2026-40771 : Contest Gallery
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes arbitraires sur la base de données, pouvant entraîner une fuite complète des données ou une prise de contrôle du site. Le score élevé reflète la criticité de...
Score: 9.3
CVE-2026-40798 : wpForo Forum
Hier / Aujourd'huiCette injection SQL non authentifiée dans wpForo Forum jusqu'à la version 3.0.4 permet à un attaquant distant d'exécuter des requêtes malveillantes sur la base de données. Cela peut entraîner une divulgation complète des données, une modification...
Score: 9.3
CVE-2026-42381 : Funnel Builder by FunnelKit
Hier / Aujourd'huiCette injection SQL non authentifiée dans Funnel Builder by FunnelKit jusqu'à la version 3.15.0.1 permet à un attaquant d'exécuter des commandes SQL arbitraires. Cela peut entraîner une compromission totale de la base de données, avec vol ou...
Score: 9.3
CVE-2026-42386 : Order Delivery Date for WooCommerce
Hier / Aujourd'huiCette injection SQL non authentifiée dans Order Delivery Date for WooCommerce jusqu'à la version 4.5.1 permet à un attaquant d'exécuter des requêtes malveillantes. Cela peut compromettre l'intégrité des commandes et des données clients, avec un...
Score: 9.3
CVE-2026-42639 : GD Rating System
Hier / Aujourd'huiCette injection SQL non authentifiée dans GD Rating System jusqu'à la version 3.6.2 permet à un attaquant d'exécuter des commandes SQL arbitraires. Cela peut entraîner une divulgation complète des données de notation et des informations...
Score: 9.3
CVE-2026-42665 : WP Data Access
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes arbitraires sur la base de données, pouvant extraire, modifier ou supprimer des données. Le score critique souligne un risque élevé de compromission totale du site.
Score: 9.3
CVE-2026-45439 : Realtyna Organic IDX plugin
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes arbitraires sur la base de données du plugin immobilier. Le score critique indique un risque élevé de compromission totale des données et du système.
Score: 9.3
CVE-2026-48886 : JS Help Desk
Hier / Aujourd'huiCette vulnérabilité d'injection SQL non authentifiée dans JS Help Desk permet à un attaquant d'exécuter des requêtes SQL arbitraires sans aucune authentification. Cela peut entraîner une divulgation complète de la base de données et une...
Score: 9.3
CVE-2026-49067 : Advanced 301 and 302 Redirect
Hier / Aujourd'huiUn attaquant non authentifié peut injecter des requêtes SQL, permettant un accès complet à la base de données. Cela expose toutes les données, avec un impact critique sur la confidentialité et l'intégrité.
Score: 9.3
CVE-2026-49776 : GPTranslate – Multilingual AI Translation for WordPress
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes SQL malveillantes. L'impact est critique car elle peut entraîner une divulgation complète de la base de données.
Score: 9.3
CVE-2026-52693 : eCommerce Product Catalog
Hier / Aujourd'huiCette injection SQL non authentifiée permet à un attaquant d'exécuter des requêtes SQL malveillantes. L'impact est critique car elle peut entraîner une divulgation complète de la base de données du catalogue.
Score: 9.3
CVE-2026-49952 : Discuz! X5.0
Hier / Aujourd'huiDiscuz! X5.0 contient une vulnérabilité de contournement d'authentification permettant à des attaquants distants non authentifiés d'accéder aux fonctionnalités de sauvegarde et restauration de base de données. L'impact est critique avec une...
Score: 9.1
CVE-2026-39465 : Responsive Slider by MetaSlider
Hier / Aujourd'huiUne vulnérabilité d'exécution de code à distance (RCE) par un éditeur permet à un utilisateur avec des privilèges d'éditeur d'exécuter du code arbitraire sur le serveur. Cela peut entraîner une prise de contrôle complète du site ou une...
Score: 9.1
CVE-2026-48881 : TrueBooker
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans TrueBooker permet à un attaquant de contourner toutes les restrictions d'accès. Un attaquant peut ainsi prendre le contrôle total de l'application et accéder à toutes les données.
Score: 9.1
CVE-2026-48713 : i18next-fs-backend
Hier / Aujourd'huiUne vulnérabilité de pollution de prototype dans i18next-fs-backend permet à un attaquant d'écrire des propriétés arbitraires sur Object.prototype via des clés manquantes. Cela peut entraîner des plantages, une corruption des traductions ou des...
Score: 9.1
CVE-2026-48714 : i18next-http-middleware
Hier / Aujourd'huiLe middleware i18next-http-middleware est vulnérable à une pollution de prototype via des clés manquantes contenant des points. Les applications exposant missingKeyHandler à des entrées non fiables peuvent être exploitées pour une pollution de...
Score: 9.1
CVE-2026-12192 : GALAYOU Y4
Hier / Aujourd'huiCette vulnérabilité de débordement de tampon dans le serveur web du GALAYOU Y4 permet à un attaquant sur le réseau local d'exécuter du code arbitraire. L'exploit étant public, le risque d'attaque est élevé, mais limité au réseau local. Aucun...
Score: 8.8
CVE-2016-20075 : WordPress Ultimate Product Catalog
Hier / Aujourd'huiTéléchargement de fichier arbitraire via les champs personnalisés, permettant aux utilisateurs authentifiés de télécharger des shells PHP et d'exécuter du code.
Score: 8.8
CVE-2026-49062 : Faust.Js
Hier / Aujourd'huiUn contournement d'authentification via un chemin alternatif dans Faust.Js permet l'exploitation de la récupération de mot de passe. Les versions jusqu'à 1.8.7 sont vulnérables à ce type d'attaque.
Score: 8.8
CVE-2026-49111 : Masteriyo - LMS
Hier / Aujourd'huiUne attribution incorrecte de privilèges dans Masteriyo - LMS permet une escalade de privilèges. Les versions jusqu'à 2.2.0 sont affectées par ce défaut de gestion des droits.
Score: 8.8
CVE-2026-5242 : Pizzy Library
Hier / Aujourd'huiCette faille d'injection de code via un fichier CSV permet à un attaquant d'exécuter du code malveillant. Elle expose le système à des compromissions graves, comme l'exécution de commandes arbitraires.
Score: 8.8
CVE-2026-52720 : GStreamer
Hier / Aujourd'huiUn dépassement de tampon dans le client RFB/VNC de GStreamer permet à un serveur VNC malveillant d'écrire hors limites dans le framebuffer. Un attaquant distant peut piéger un utilisateur pour exécuter du code arbitraire avec un impact critique.
Score: 8.8
CVE-2026-39474 : Post Duplicator
Hier / Aujourd'huiUne injection d'objets PHP par un contributeur permet à un utilisateur d'exécuter du code arbitraire sur le serveur, pouvant entraîner une compromission totale du site. Cette vulnérabilité critique expose les données et les fonctionnalités du...
Score: 8.8
CVE-2026-39478 : Anti-Malware Security and Brute-Force Firewall
Hier / Aujourd'huiUne injection d'objets PHP par un contributeur permet à un utilisateur d'exécuter du code arbitraire, compromettant la sécurité du site. Cela peut entraîner une désactivation du pare-feu ou une exécution de code malveillant. La mise à jour vers...
Score: 8.8
CVE-2026-39532 : Events Calendar for GeoDirectory
Hier / Aujourd'huiCette injection d'objets PHP nécessite un compte contributeur, permettant à un attaquant d'exécuter du code arbitraire sur le serveur. L'impact est élevé car peut mener à une compromission totale du site, bien que l'authentification soit requise.
Score: 8.8
CVE-2026-39579 : B Blocks
Hier / Aujourd'huiCette escalade de privilèges permet à un contributeur d'obtenir des droits plus élevés, comme administrateur, compromettant ainsi la sécurité du site. L'impact est élevé car peut mener à une prise de contrôle complète.
Score: 8.8
CVE-2026-42661 : WP Customer Area
Hier / Aujourd'huiCette vulnérabilité de type Path Traversal dans le rôle personnalisé permet à un attaquant de naviguer en dehors du répertoire autorisé, pouvant lire ou écrire des fichiers sensibles. L'impact est élevé car elle peut compromettre l'intégrité et...
Score: 8.8
CVE-2026-48889 : Amelia
Hier / Aujourd'huiUn abonné peut élever ses privilèges, obtenant un accès non autorisé à des fonctionnalités réservées aux administrateurs. Cela peut entraîner une compromission totale du site, incluant la modification de contenu et l'accès aux données utilisateur.
Score: 8.8
CVE-2026-49780 : Dokan
Hier / Aujourd'huiCette vulnérabilité d'escalade de privilèges par un client permet à un utilisateur authentifié d'élever ses privilèges. L'impact est élevé car elle peut conduire à un accès non autorisé à des fonctionnalités administratives.
Score: 8.8
CVE-2026-48017 : DbGate
Hier / Aujourd'huiDbGate est vulnérable à une injection de code JavaScript dans le point de terminaison POST /runners/load-reader. Un utilisateur authentifié peut exécuter des commandes arbitraires sur le serveur, accéder aux fichiers et compromettre les bases de...
Score: 8.8
CVE-2026-12057 : Application de lecture PDF
Hier / Aujourd'huiÉchec de l'interception d'interfaces dangereuses dans le bac à sable JavaScript, permettant le chargement de scripts distants et l'exécution de code arbitraire.
Score: 8.6
CVE-2026-47835 : Spring AI Vector Stores
Hier / Aujourd'huiDans les magasins vectoriels Spring AI, des caractères spéciaux peuvent forcer l'exécution de requêtes arbitraires dans Elasticsearch, OpenSearch et GemFire VectorDB. Cela permet à un attaquant de compromettre la confidentialité et l'intégrité...
Score: 8.6
CVE-2026-40769 : Contact Form Extender for Divi
Hier / Aujourd'huiCette suppression de fichier arbitraire non authentifiée permet à un attaquant de supprimer des fichiers critiques sans autorisation, menaçant l'intégrité du site. L'impact est élevé car peut entraîner une perte de données ou une indisponibilité.
Score: 8.6
CVE-2026-47825 : Spring Cloud Gateway
Hier / Aujourd'huiCette vulnérabilité permet à un proxy non fiable de transmettre des en-têtes X-Forwarded-For et Forwarded, pouvant tromper le serveur sur l'origine des requêtes. L'impact inclut le contournement de contrôles d'accès ou l'usurpation d'identité.
Score: 8.6
CVE-2026-24637 : PowerPress Podcasting
Hier / Aujourd'huiCette faille d'injection SQL dans PowerPress Podcasting permet à un contributeur d'exécuter des requêtes SQL arbitraires. Les versions antérieures à 11.15.10 sont concernées.
Score: 8.5
CVE-2026-40766 : MasterStudy LMS
Hier / Aujourd'huiCette injection SQL par un abonné permet d'exécuter des requêtes malveillantes, compromettant la base de données. L'impact est élevé car peut exposer des données utilisateur ou permettre une escalade de privilèges.
Score: 8.5
CVE-2026-48874 : GamiPress
Hier / Aujourd'huiCette vulnérabilité d'injection SQL nécessitant un abonné dans GamiPress permet à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires. Cela peut entraîner la divulgation ou la modification de la base de données.
Score: 8.5
CVE-2026-48882 : WP Time Slots Booking Form
Hier / Aujourd'huiCette vulnérabilité d'injection SQL nécessitant un abonné dans WP Time Slots Booking Form permet à un utilisateur authentifié d'exécuter des requêtes SQL arbitraires. Cela peut entraîner une compromission complète de la base de données.
Score: 8.5
CVE-2026-48964 : ELEX WordPress HelpDesk & Customer Ticketing System
Hier / Aujourd'huiUn abonné peut injecter des requêtes SQL malveillantes, permettant l'extraction ou la manipulation de la base de données. Cela expose des informations sensibles comme les mots de passe et les données clients, avec un impact critique sur la...
Score: 8.5
CVE-2026-52697 : Taskbuilder
Hier / Aujourd'huiUne injection SQL est possible pour les utilisateurs ayant le rôle d'abonné dans Taskbuilder jusqu'à la version 5.0.7. Cette vulnérabilité permet à un attaquant authentifié avec des privilèges limités d'exécuter des requêtes SQL arbitraires sur...
Score: 8.5
CVE-2026-52700 : WCMultiShipping
Hier / Aujourd'huiLes abonnés peuvent exploiter une injection SQL dans WCMultiShipping jusqu'à la version 3.0.2. Cette faille permet à un utilisateur authentifié avec des droits limités d'exécuter des commandes SQL malveillantes sur le serveur de base de données.
Score: 8.5
CVE-2016-20068 : WordPress Booking Calendar Contact Form
Hier / Aujourd'huiInjection SQL aveugle non authentifiée via le paramètre 'id', permettant l'exécution de requêtes SQL arbitraires.
Score: 8.2
CVE-2016-20069 : WordPress Booking Calendar Contact Form
Hier / Aujourd'huiInjection SQL aveugle non authentifiée via le paramètre calendar, permettant l'extraction de données sensibles.
Score: 8.2
CVE-2016-20071 : 404 Redirection Manager WordPress plugin
Hier / Aujourd'huiInjection SQL non authentifiée via des entrées utilisateur non sanitizées, permettant l'exécution de requêtes SQL arbitraires.
Score: 8.2
CVE-2016-20072 : BBS e-Franchise WordPress plugin
Hier / Aujourd'huiInjection SQL non authentifiée via le paramètre uid, permettant l'extraction de données sensibles de la base de données.
Score: 8.2
CVE-2016-20073 : Answer My Question WordPress plugin
Hier / Aujourd'huiInjection SQL non authentifiée via le paramètre 'id' POST, permettant l'exécution de requêtes SQL arbitraires.
Score: 8.2
Un contrôle d'accès brisé non authentifié permet à un attaquant d'accéder à des fonctionnalités ou données normalement protégées. Cela peut entraîner une divulgation d'informations sensibles ou une modification non autorisée des paramètres de recherche.
Score: 8.2
CVE-2026-49065 : Hippoo Mobile App for WooCommerce
Hier / Aujourd'huiUn attaquant non authentifié peut contourner les contrôles d'accès, accédant à des fonctionnalités réservées. Cela peut entraîner une compromission des données et des opérations.
Score: 8.2
CVE-2026-27333 : Paid Videochat Turnkey Site
Hier / Aujourd'huiCette vulnérabilité de désérialisation non authentifiée dans Paid Videochat Turnkey Site permet à un attaquant d'exécuter du code arbitraire. Les versions antérieures à 7.3.23 sont impactées.
Score: 8.1
CVE-2026-39587 : WP BASE Booking
Hier / Aujourd'huiCette escalade de privilèges non authentifiée permet à un attaquant d'obtenir des droits élevés sans connexion, menaçant l'intégrité du système. L'impact est élevé car peut conduire à une compromission complète.
Score: 8.1
CVE-2026-42411 : CloudSecure WP Security
Hier / Aujourd'huiCette faille d'authentification brisée non authentifiée dans CloudSecure WP Security jusqu'à la version 1.4.7 permet à un attaquant de contourner les contrôles d'accès. Cela peut entraîner une prise de contrôle partielle du site, avec accès à des...
Score: 8.1
CVE-2026-42687 : EventPrime
Hier / Aujourd'huiUne injection d'objet PHP non authentifiée permet à un attaquant d'exécuter du code arbitraire sur le serveur. Cela peut conduire à une prise de contrôle complète du site, avec des conséquences graves sur la sécurité des données.
Score: 8.1
CVE-2026-48970 : Really Simple SSL
Hier / Aujourd'huiUn attaquant non authentifié peut contourner l'authentification, prenant le contrôle du système. Cela permet un accès administratif complet, compromettant la sécurité du site et des données.
Score: 8.1
CVE-2026-12218 : SIP-T46U
Hier / Aujourd'huiUn débordement de pile dans le service Web FastCGI du Yealink SIP-T46U permet à un attaquant sur le réseau local d'exécuter du code arbitraire. L'exploit public augmente le risque, mais est limité au réseau local. Aucun correctif n'est disponible...
Score: 8.0
CVE-2026-12220 : Yealink SIP-T46U
Hier / Aujourd'huiVulnérabilité de débordement de tampon dans la fonction de téléchargement de firmware par morceaux. Un attaquant local peut corrompre la mémoire et exécuter du code arbitraire.
Score: 8.0
CVE-2026-12221 : Yealink SIP-T46U
Hier / Aujourd'huiDébordement de tampon dans le gestionnaire de téléchargement de firmware via les arguments uid/start_offset. Exploitation locale possible pour exécution de code.
Score: 8.0
CVE-2026-12222 : Yealink SIP-T46U
Hier / Aujourd'huiDébordement de tampon dans le service Web FastCGI via les arguments btMac/pin/reserved. Un attaquant local peut compromettre le système.
Score: 8.0
CVE-2026-12193 : RevoUninstaller
Hier / Aujourd'huiUn débordement de tas dans le pilote RevoDetector.sys de RevoUninstaller permet une élévation de privilèges locale. L'exploit public facilite l'attaque, mais nécessite un accès local. La mise à jour vers la version 2.7.0 corrige ce problème.
Score: 7.8
CVE-2026-12214 : 360 Total Security
Hier / Aujourd'huiUn échec du mécanisme de protection dans le moteur Nucleus de 360 Total Security permet à un attaquant local de contourner les défenses. L'exploit public facilite l'attaque, mais nécessite un accès local. Aucun correctif n'est disponible car le...
Score: 7.8
CVE-2026-12217 : Virtual Drive
Hier / Aujourd'huiUne gestion de privilèges inadéquate dans le pilote noyau signé de DVDFab Virtual Drive permet à un attaquant local d'élever ses privilèges. L'exploit public facilite l'attaque, mais nécessite un accès local. Aucun correctif n'est disponible car...
Score: 7.8
CVE-2025-56814 : OpenCPN
Hier / Aujourd'huiUne vulnérabilité d'injection de code dans la fonction wxExecute() d'OpenCPN v5.12.0 permet à un attaquant d'exécuter du code arbitraire en intégrant des métacaractères de shell. L'impact est élevé car elle compromet la confidentialité,...
Score: 7.8
CVE-2026-48723 : browserstack-cypress-cli
Hier / Aujourd'huiUne injection de commandes OS dans browserstack-cypress-cli via le paramètre cypress_config_file permet à un attaquant d'exécuter des commandes arbitraires. Les métacaractères shell dans le chemin de configuration peuvent briser l'argument et...
Score: 7.8
CVE-2026-40727 : Groundhogg
Hier / Aujourd'huiCette suppression de fichier arbitraire par un représentant commercial peut entraîner une perte de données critiques ou une dégradation du service. L'impact est élevé car peut compromettre l'intégrité du système.
Score: 7.7
CVE-2026-40779 : Link Library
Hier / Aujourd'huiCette faille de suppression de fichier arbitraire par un contributeur permet de supprimer des fichiers critiques du serveur, pouvant entraîner une déni de service ou une perte de données. L'impact est élevé car elle nécessite des privilèges...
Score: 7.7
CVE-2026-53705 : GStreamer (gst-plugins-good)
Hier / Aujourd'huiUn dépassement d'entier dans le décodeur audio WavPack de GStreamer entraîne une allocation mémoire insuffisante et une corruption du tas. Un attaquant distant peut exploiter cette vulnérabilité pour exécuter du code arbitraire ou provoquer un crash.
Score: 7.6
CVE-2016-20076 : WordPress Simple-Backup
Hier / Aujourd'huiCette vulnérabilité permet à un attaquant non authentifié de supprimer ou télécharger des fichiers sensibles via des paramètres non validés dans tools.php. L'exploitation de traversées de répertoire expose des fichiers critiques comme...
Score: 7.5
CVE-2016-20081 : WordPress HB Audio Gallery Lite
Hier / Aujourd'huiUne traversée de répertoire dans audio-download.php permet à un attaquant non authentifié de télécharger des fichiers arbitraires en manipulant le paramètre file_path. Cela expose des fichiers sensibles comme wp-config.php en dehors du répertoire...
Score: 7.5
CVE-2018-25437 : WordPress CherryFramework Themes
Hier / Aujourd'huiUne divulgation d'informations dans download_backup.php permet à un attaquant non authentifié de télécharger des sauvegardes sensibles. L'accès direct au script expose des archives ZIP contenant l'intégralité du répertoire wp-content/themes.
Score: 7.5
CVE-2026-49064 : GetPaid
Hier / Aujourd'huiUne insertion d'informations sensibles dans les données envoyées par GetPaid permet à un attaquant de récupérer des données intégrées. Les versions jusqu'à 2.8.49 exposent des données sensibles lors de la transmission.
Score: 7.5
CVE-2026-5079 : multer
Hier / Aujourd'huiUn déni de service via des noms de champs profondément imbriqués dans multer permet à un attaquant de consommer des ressources CPU et mémoire. Une seule requête HTTP avec un corps multipart malveillant suffit à exploiter cette vulnérabilité.
Score: 7.5
CVE-2026-9863 : Fortra BoKS Manager
Hier / Aujourd'huiUne injection de commandes OS via les outils de mise à jour permet à un client compromis d'exécuter des commandes sur le serveur maître. Cela expose le système à des attaques latérales.
Score: 7.5
CVE-2026-47777 : Mastodon
Hier / Aujourd'huiUn attaquant peut contourner la vérification de consentement pour les collections, en forgeant un objet FeatureAuthorization. Cela permet de faire apparaître un compte comme autorisé sans son accord.
Score: 7.5
CVE-2026-41708 : Spring Cloud Sleuth
Hier / Aujourd'huiDans Spring Cloud Sleuth, un utilisateur peut fournir des appels spécialement conçus pour provoquer un déni de service. La vulnérabilité affecte les versions 3.1.0 à 3.1.13 lorsque l'instrumentation TX n'est pas désactivée, avec un impact élevé...
Score: 7.5
CVE-2025-59133 : Projectopia
Hier / Aujourd'huiCette vulnérabilité de type IDOR dans les rôles personnalisés de Projectopia permet à un attaquant d'accéder à des ressources non autorisées. Les versions antérieures à 5.1.25.2 sont concernées.
Score: 7.5
CVE-2026-25425 : User Registration
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans User Registration permet à un attaquant d'accéder à des fonctionnalités non autorisées. Les versions antérieures à 5.1.2 sont impactées.
Score: 7.5
CVE-2026-27089 : WpTravelly
Hier / Aujourd'huiCette faille de contournement non authentifié dans WpTravelly permet à un attaquant d'accéder à des fonctionnalités protégées. Les versions antérieures à 2.1.7 sont concernées.
Score: 7.5
CVE-2026-34886 : Simple Membership
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans Simple Membership permet à un attaquant d'accéder à des fonctionnalités protégées. Les versions antérieures à 4.7.1 sont impactées.
Score: 7.5
CVE-2026-34891 : IDPay Payment Gateway for Woocommerce
Hier / Aujourd'huiCette faille d'exposition de données sensibles non authentifiée dans IDPay Payment Gateway for Woocommerce permet à un attaquant d'accéder à des informations confidentielles. Les versions antérieures à 2.2.5 sont concernées.
Score: 7.5
CVE-2026-34898 : Event Tickets Manager for WooCommerce
Hier / Aujourd'huiUn contrôle d'accès brisé non authentifié permet à un attaquant distant d'accéder à des fonctionnalités administratives sans identification préalable. Cela pourrait entraîner une divulgation d'informations ou une modification non autorisée des...
Score: 7.5
CVE-2026-39480 : Backup Migration
Hier / Aujourd'huiCette vulnérabilité permet à un attaquant non authentifié d'exposer des données sensibles via le plugin Backup Migration. L'impact est élevé car des informations critiques comme des sauvegardes ou des configurations peuvent être compromises. Une...
Score: 7.5
CVE-2026-39503 : Easy Digital Downloads
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé permet à un attaquant non authentifié d'accéder à des fonctionnalités restreintes. L'impact est élevé car cela peut exposer des données sensibles ou permettre des actions non autorisées. Les...
Score: 7.5
CVE-2026-39513 : Easy Appointments
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé permet à un attaquant non authentifié d'accéder à des fonctionnalités restreintes. L'impact est élevé car cela peut exposer des données de rendez-vous ou permettre des modifications non autorisées....
Score: 7.5
CVE-2026-39524 : Masteriyo - LMS
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé permet à un attaquant non authentifié d'accéder à des fonctionnalités restreintes. L'impact est élevé car cela peut exposer des données de cours ou permettre des modifications non autorisées. Les...
Score: 7.5
CVE-2026-39533 : AWP Classifieds
Hier / Aujourd'huiCe défaut de contrôle d'accès non authentifié permet à un attaquant d'accéder à des fonctionnalités ou données restreintes sans autorisation. L'impact est significatif car il expose des ressources sensibles sans nécessiter d'authentification.
Score: 7.5
CVE-2026-39534 : WP Directory Kit
Hier / Aujourd'huiCe problème de contrôle d'accès non authentifié expose des fonctionnalités administratives ou des données privées à des utilisateurs non connectés. L'impact est élevé car il peut permettre une escalade de privilèges ou une fuite d'informations.
Score: 7.5
CVE-2026-40741 : Redsys for WooCommerce Light
Hier / Aujourd'huiCe défaut de contrôle d'accès non authentifié expose des fonctionnalités sensibles à des attaquants non connectés, compromettant la sécurité. L'impact est élevé car peut permettre un accès non autorisé à des données de paiement.
Score: 7.5
CVE-2026-40762 : WPGraphQL
Hier / Aujourd'huiCette injection SQL non authentifiée permet d'exécuter des requêtes malveillantes sur la base de données, menaçant la confidentialité et l'intégrité des données. L'impact est élevé car peut entraîner une fuite de données sensibles.
Score: 7.5
CVE-2026-40767 : wpForo Forum
Hier / Aujourd'huiCe défaut de contrôle d'accès non authentifié permet à un attaquant d'accéder à des fonctionnalités administratives sans connexion. L'impact est élevé car peut compromettre la gestion du forum et les données des utilisateurs.
Score: 7.5
CVE-2026-40774 : Booking Package
Hier / Aujourd'huiCette faille de contrôle d'accès non authentifié permet à un attaquant de contourner les restrictions et d'accéder à des ressources protégées, pouvant entraîner une divulgation d'informations ou une modification non autorisée. L'impact est élevé...
Score: 7.5
CVE-2026-40776 : WP Event Solution
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié permet à un attaquant de manipuler des événements ou données sensibles sans autorisation, affectant l'intégrité et la disponibilité du service. L'impact est élevé en raison de la simplicité...
Score: 7.5
CVE-2026-40781 : ReviewX
Hier / Aujourd'huiCe défaut d'authentification non authentifié permet à un attaquant de contourner les mécanismes de connexion et d'accéder à des comptes utilisateurs, compromettant la confidentialité et l'intégrité des données. L'impact est élevé en raison de la...
Score: 7.5
CVE-2026-40789 : Amelia
Hier / Aujourd'huiCette exposition de données sensibles non authentifiée permet à un attaquant d'accéder à des informations confidentielles sans identification, compromettant la vie privée des utilisateurs. L'impact est élevé en raison de la simplicité...
Score: 7.5
CVE-2026-42384 : Simply Schedule Appointments
Hier / Aujourd'huiCette exposition de données sensibles non authentifiée dans Simply Schedule Appointments avant la version 1.6.11.2 permet à un attaquant d'accéder à des informations confidentielles. Les données des rendez-vous ou des utilisateurs pourraient être...
Score: 7.5
CVE-2026-42666 : Salon booking system
Hier / Aujourd'huiUn contrôle d'accès brisé non authentifié expose des fonctionnalités administratives ou des données de réservation à des attaquants non connectés. Cela peut permettre la manipulation des rendez-vous ou l'accès à des informations confidentielles...
Score: 7.5
CVE-2026-42667 : Bookly
Hier / Aujourd'huiCette exposition de données sensibles non authentifiée permet à un attaquant d'accéder à des informations privées sans connexion préalable. L'impact inclut la fuite de données personnelles des clients ou des configurations internes du plugin.
Score: 7.5
CVE-2026-42668 : Email Marketing for WooCommerce by Omnisend
Hier / Aujourd'huiUne faille d'authentification brisée non authentifiée permet à un attaquant de contourner les mécanismes de connexion. Cela peut entraîner un accès non autorisé aux fonctionnalités de marketing par email, compromettant les campagnes et les...
Score: 7.5
CVE-2026-45441 : WpEvently
Hier / Aujourd'huiUne vulnérabilité non authentifiée de type autre permet à un attaquant d'exploiter une faille de sécurité sans connexion. L'impact peut inclure un accès non autorisé à des fonctionnalités ou des données sensibles du plugin d'événements.
Score: 7.5
CVE-2026-47261 : Wasmtime
Hier / Aujourd'huiCette vulnérabilité de contournement de contrôle d'accès dans Wasmtime permet à un attaquant de bypasser les permissions de fichiers en utilisant l'option TRUNCATE. L'impact inclut la modification non autorisée de fichiers en lecture seule,...
Score: 7.5
CVE-2026-48708 : OliveTin
Hier / Aujourd'huiCette vulnérabilité de type race condition dans le moteur de templates d'OliveTin permet une contamination des commandes entre utilisateurs et peut causer un panic du runtime Go. Un attaquant peut exploiter ce défaut de synchronisation pour...
Score: 7.5
CVE-2026-48835 : Contact Form by WPForms
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans le plugin Contact Form by WPForms permet à un attaquant de contourner les restrictions d'accès. Un attaquant peut ainsi accéder à des fonctionnalités ou données protégées sans...
Score: 7.5
CVE-2026-48868 : Simple Shopping Cart
Hier / Aujourd'huiCette vulnérabilité de type Insecure Direct Object References non authentifiée dans Simple Shopping Cart permet à un attaquant d'accéder directement à des objets sensibles. Un attaquant peut ainsi consulter ou modifier des données sans autorisation.
Score: 7.5
CVE-2026-48872 : EmbedPress
Hier / Aujourd'huiCette vulnérabilité d'exposition de données sensibles non authentifiée dans EmbedPress permet à un attaquant d'accéder à des informations confidentielles. Des données telles que des clés API ou des informations utilisateur peuvent être divulguées.
Score: 7.5
CVE-2026-48873 : Montonio for WooCommerce
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans Montonio for WooCommerce permet à un attaquant de contourner les restrictions. Un attaquant peut ainsi accéder à des fonctionnalités administratives ou des données sensibles.
Score: 7.5
CVE-2026-48883 : WPC Product Bundles for WooCommerce
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié dans WPC Product Bundles for WooCommerce permet à un attaquant de contourner les restrictions. Un attaquant peut ainsi modifier des produits ou accéder à des données sensibles.
Score: 7.5
CVE-2026-49056 : WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels
Hier / Aujourd'huiUn attaquant non authentifié peut accéder à des données sensibles comme les factures et informations d'expédition. Cela expose des données clients et commerciales, avec un impact élevé sur la confidentialité.
Score: 7.5
CVE-2026-49061 : WPC Product Options for WooCommerce
Hier / Aujourd'huiUn attaquant non authentifié peut télécharger arbitrairement des fichiers du serveur, y compris des fichiers sensibles. Cela compromet la confidentialité et peut révéler des informations critiques.
Score: 7.5
CVE-2026-49066 : Conekta Payment Gateway
Hier / Aujourd'huiUn attaquant non authentifié peut exposer des données sensibles de paiement, comme les informations de transaction. Cela compromet la sécurité financière des utilisateurs.
Score: 7.5
CVE-2026-49068 : Coupon Affiliates
Hier / Aujourd'huiUn abonné peut accéder à des données sensibles comme les informations d'affiliation. Cela compromet la confidentialité et peut être utilisé pour des fraudes.
Score: 7.5
CVE-2026-49070 : Knit Pay
Hier / Aujourd'huiUn attaquant non authentifié peut contourner les contrôles d'accès, accédant à des fonctionnalités de paiement. Cela peut entraîner des transactions non autorisées.
Score: 7.5
CVE-2026-49078 : WP Travel Engine
Hier / Aujourd'huiUn attaquant non authentifié peut exploiter une vulnérabilité non spécifiée, compromettant la sécurité du site. L'impact peut inclure l'accès non autorisé ou la modification de données.
Score: 7.5
CVE-2026-49083 : LatePoint
Hier / Aujourd'huiUn contributeur peut élever ses privilèges, obtenant un accès administratif. Cela permet de modifier le site et d'accéder à des données sensibles.
Score: 7.5
CVE-2026-49110 : Upsell Order Bump Offer for WooCommerce
Hier / Aujourd'huiCette vulnérabilité d'authentification brisée non authentifiée permet à un attaquant de contourner les mécanismes d'authentification. L'impact est élevé car elle peut conduire à un accès non autorisé aux fonctionnalités sensibles du plugin.
Score: 7.5
CVE-2026-49112 : Shared Files
Hier / Aujourd'huiCette vulnérabilité de traversée de chemin non authentifiée permet à un attaquant d'accéder à des fichiers en dehors du répertoire autorisé. L'exploitation peut entraîner la divulgation de fichiers sensibles du serveur.
Score: 7.5
CVE-2026-52692 : Affiliates Manager
Hier / Aujourd'huiCette vulnérabilité d'exposition de données sensibles non authentifiée permet à un attaquant d'accéder à des informations confidentielles. L'impact est élevé car elle peut entraîner une divulgation de données des affiliés.
Score: 7.5
CVE-2026-52694 : Signature Add-On for WooCommerce
Hier / Aujourd'huiCette vulnérabilité permet à un attaquant non authentifié d'exposer des données sensibles via le plugin Signature Add-On pour WooCommerce. Les versions concernées sont antérieures ou égales à 2.0, ce qui peut entraîner une fuite d'informations critiques.
Score: 7.5
CVE-2026-52695 : ABC Crypto Checkout
Hier / Aujourd'huiUn attaquant non authentifié peut accéder à des données sensibles dans le plugin ABC Crypto Checkout jusqu'à la version 1.8.2. Cette exposition non autorisée compromet la confidentialité des informations traitées par le plugin.
Score: 7.5
CVE-2026-52699 : VikRentCar
Hier / Aujourd'huiUne vulnérabilité de type IDOR (Insecure Direct Object References) non authentifiée affecte VikRentCar jusqu'à la version 1.4.5. Un attaquant peut accéder directement à des objets sans vérification d'autorisation, exposant des données sensibles.
Score: 7.5
CVE-2026-49082 : Chatway Live Chat
Hier / Aujourd'huiUn abonné peut exposer des données sensibles des conversations de chat. Cela compromet la confidentialité des communications et peut révéler des informations personnelles.
Score: 7.4
CVE-2026-12198 : Microweber
Hier / Aujourd'huiUn chemin de traversée dans le point de terminaison API /api_nosession/thumbnail_img permet à un attaquant distant d'accéder à des fichiers sensibles. L'exploit public facilite l'attaque, mais le vendeur n'a pas répondu. La mise à jour vers une...
Score: 7.3
CVE-2026-12200 : TinyWeb Server
Hier / Aujourd'huiUn débordement de pile dans le gestionnaire d'en-têtes de TinyWeb Server permet à un attaquant distant d'exécuter du code arbitraire. L'exploit public augmente le risque, mais le vendeur n'a pas fourni de correctif. L'impact est critique pour les...
Score: 7.3
CVE-2026-12204 : ShopXO
Hier / Aujourd'huiUn contournement d'autorisation dans le point de terminaison Scheduled Task permet à un attaquant distant d'exécuter des actions non autorisées. L'exploit public facilite l'attaque, mais le vendeur n'a pas fourni de correctif. L'impact est...
Score: 7.3
CVE-2026-40775 : Royal MCP
Hier / Aujourd'huiCe défaut de contrôle d'accès non authentifié permet à un attaquant d'accéder à des fonctionnalités administratives sans identification, pouvant compromettre la configuration du site. L'impact est significatif car il expose des actions critiques.
Score: 7.3
CVE-2026-49063 : Listdom
Hier / Aujourd'huiUn attaquant non authentifié peut élever ses privilèges, obtenant un accès administratif. Cela permet de modifier le site et d'accéder à des données sensibles.
Score: 7.3
CVE-2026-12197 : Ruijie EG105G-P
Hier / Aujourd'huiCette injection de commande dans le point de terminaison JSON-RPC Diagnose permet à un attaquant distant d'exécuter des commandes arbitraires. L'exploit public augmente le risque, mais le vendeur n'a pas fourni de correctif. L'impact est critique...
Score: 7.2
CVE-2016-20066 : WordPress CP Polls
Hier / Aujourd'huiVulnérabilité XSS persistante via téléchargement de fichiers non sanitizés, permettant l'injection de scripts malveillants.
Score: 7.2
CVE-2016-20084 : WordPress appointment-booking-calendar
Hier / Aujourd'huiDes vulnérabilités d'escalade de privilèges permettent à un attaquant non authentifié de modifier les paramètres du calendrier et d'injecter du XSS persistant. L'injection de JavaScript malveillant dans les paramètres 'ict', 'ics' ou 'name' via...
Score: 7.2
CVE-2026-49954 : Discuz! X5.0
Hier / Aujourd'huiDiscuz! X5.0 contient une vulnérabilité d'inclusion de fichier local permettant à des administrateurs authentifiés d'exécuter du code arbitraire via l'importation d'une configuration de plugin malveillante. L'impact est élevé avec une exécution...
Score: 7.2
CVE-2026-27407 : AI Engine
Hier / Aujourd'huiCette faille d'escalade de privilèges dans AI Engine permet à un éditeur d'obtenir des droits administratifs. Les versions antérieures à 3.4.9 sont concernées.
Score: 7.2
CVE-2026-39434 : CTX Feed
Hier / Aujourd'huiUne injection d'objets PHP par un shop manager permet à un utilisateur avec des privilèges limités d'exécuter du code arbitraire sur le serveur. Cela peut entraîner une prise de contrôle complète du site ou une fuite de données sensibles. La mise...
Score: 7.2
CVE-2026-39470 : WooCommerce Cart Abandonment Recovery
Hier / Aujourd'huiUne vulnérabilité d'escalade de privilèges par un shop manager permet à un utilisateur d'obtenir des droits d'administrateur, compromettant la sécurité du site. Cela peut entraîner une modification des paramètres ou une exécution de code. La mise...
Score: 7.2
CVE-2026-39471 : ShortPixel Image Optimizer
Hier / Aujourd'huiUne injection d'objets PHP par un auteur permet à un utilisateur avec des privilèges d'auteur d'exécuter du code arbitraire sur le serveur. Cela peut entraîner une prise de contrôle du site ou une fuite de données. La mise à jour vers la version...
Score: 7.2
CVE-2026-39472 : WooCommerce PDF Invoices & Packing Slips
Hier / Aujourd'huiUne injection d'objets PHP par un shop manager permet à un utilisateur d'exécuter du code arbitraire, compromettant la sécurité du site. Cela peut entraîner une modification des factures ou une exécution de commandes malveillantes. La mise à jour...
Score: 7.2
CVE-2026-39481 : Modula Image Gallery
Hier / Aujourd'huiCette injection d'objets PHP nécessite un accès auteur, permettant à un attaquant d'exécuter du code arbitraire via des objets malveillants. L'impact est élevé car cela peut compromettre l'intégrité du site et des données. Les utilisateurs...
Score: 7.2
CVE-2026-39498 : YayMail
Hier / Aujourd'huiCette injection d'objets PHP nécessite un accès shop manager, permettant l'exécution de code arbitraire via des objets malveillants. L'impact est élevé car cela peut compromettre la sécurité du site e-commerce. Une mise à jour vers une version...
Score: 7.2
CVE-2026-39499 : Advanced Product Fields for WooCommerce
Hier / Aujourd'huiCette injection d'objets PHP affecte les shop managers, permettant l'exécution de code arbitraire via des objets malveillants. L'impact est élevé car cela peut compromettre les données des produits et des commandes. Mettre à jour vers une version...
Score: 7.2
CVE-2026-42650 : AutomatorWP
Hier / Aujourd'huiCette faille de type Cross Site Scripting (XSS) non authentifiée dans AutomatorWP jusqu'à la version 5.6.7 permet à un attaquant d'injecter des scripts dans les pages. Cela peut compromettre les sessions utilisateur et exposer des données...
Score: 7.2
CVE-2019-25746 : WordPress Sliced Invoices
Hier / Aujourd'huiUne injection SQL authentifiée dans admin.php via le paramètre 'post' permet à un attaquant authentifié de manipuler des requêtes de base de données. L'exploitation de l'action duplicate_quote_invoice peut extraire ou modifier des données sensibles.
Score: 7.1
CVE-2026-5230 : Pizzy Library
Hier / Aujourd'huiUn contrôle d'accès incorrect dans Pizzy Library permet l'exploitation de niveaux de sécurité mal configurés. Les versions de 1.0.0.26250 à 1.3.9.26250 sont affectées par ce défaut d'autorisation.
Score: 7.1
CVE-2026-5233 : Pizzy Library
Hier / Aujourd'huiCette vulnérabilité permet un déni de service par inondation via un contrôle inadéquat de la fréquence des interactions. Un attaquant peut submerger le système avec des requêtes répétées, affectant la disponibilité du service.
Score: 7.1
CVE-2026-52719 : GStreamer
Hier / Aujourd'huiUne lecture hors limites dans le décodeur JPEG VA de GStreamer permet à un attaquant distant de provoquer un crash ou une divulgation d'informations via un fichier JPEG malveillant. L'impact est élevé sur la confidentialité et la disponibilité.
Score: 7.1
CVE-2026-52722 : GStreamer
Hier / Aujourd'huiUn débordement d'entier signé dans le décodeur VMnc de GStreamer permet de contourner une vérification de longueur et de provoquer des lectures hors limites. Un attaquant distant peut piéger un utilisateur pour causer un crash ou une divulgation...
Score: 7.1
CVE-2026-53703 : GStreamer (gst-plugins-ugly)
Hier / Aujourd'huiCette vulnérabilité dans le démultiplexeur RealMedia de GStreamer permet une lecture hors limites lors du traitement de fichiers .rm malveillants. Un attaquant peut provoquer un crash de l'application ou une divulgation limitée d'informations mémoire.
Score: 7.1
CVE-2026-53704 : GStreamer (gst-plugins-ugly)
Hier / Aujourd'huiCette faille dans le démultiplexeur RealMedia de GStreamer permet une boucle infinie ou une lecture mémoire adjacente via des métadonnées FILEINFO spécialement conçues. Un fichier RealMedia malveillant peut causer un crash, un blocage ou une...
Score: 7.1
CVE-2025-68840 : iRobots.txt SEO
Hier / Aujourd'huiCette vulnérabilité XSS non authentifiée dans iRobots.txt SEO permet à un attaquant d'injecter du code malveillant. Les versions antérieures à 1.1.2 sont impactées.
Score: 7.1
CVE-2025-68851 : Okay Toolkit
Hier / Aujourd'huiCette faille XSS non authentifiée dans Okay Toolkit permet à un attaquant d'exécuter du code JavaScript malveillant. Les versions antérieures à 2.3 sont concernées.
Score: 7.1
CVE-2025-68872 : Eli's WordCents adSense Widget with Analytics
Hier / Aujourd'huiCette vulnérabilité XSS non authentifiée dans le widget WordCents permet à un attaquant d'injecter du code malveillant. Les versions antérieures à 1.3.03.27 sont impactées.
Score: 7.1
CVE-2026-23970 : Redirection for Contact Form 7
Hier / Aujourd'huiCette vulnérabilité XSS non authentifiée dans Redirection for Contact Form 7 permet à un attaquant d'injecter du code malveillant. Les versions antérieures à 3.2.8 sont impactées.
Score: 7.1
CVE-2026-34900 : GiveWP
Hier / Aujourd'huiUne vulnérabilité de type Cross-Site Scripting (XSS) non authentifiée permet à un attaquant d'injecter des scripts malveillants dans les pages de dons. Cela peut compromettre les données des donateurs et rediriger vers des sites frauduleux. La...
Score: 7.1
CVE-2026-34902 : WooCommerce Product Table Lite
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les pages de produits, affectant les visiteurs du site. Cela peut voler des cookies de session ou rediriger vers des sites malveillants. La mise à jour vers...
Score: 7.1
CVE-2026-39435 : CformsII
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les formulaires de contact, affectant les utilisateurs qui les consultent. Cela peut compromettre les données saisies ou rediriger vers des sites...
Score: 7.1
CVE-2026-39447 : Simply Schedule Appointments
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les pages de rendez-vous, affectant les visiteurs. Cela peut voler des informations de session ou rediriger vers des sites malveillants. La mise à jour vers...
Score: 7.1
CVE-2026-39449 : Contact Form to Any API
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les formulaires de contact, compromettant les données des utilisateurs. Cela peut entraîner un vol de cookies ou une redirection vers des sites frauduleux....
Score: 7.1
CVE-2026-39450 : FunnelKit Automations
Hier / Aujourd'huiUne vulnérabilité d'authentification brisée chez un abonné permet à un utilisateur de contourner les contrôles d'accès et d'accéder à des fonctionnalités réservées. Cela peut entraîner une escalade de privilèges ou une divulgation d'informations....
Score: 7.1
CVE-2026-39463 : ManageWP Worker
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les pages de gestion, affectant les administrateurs. Cela peut voler des identifiants de connexion ou exécuter des actions non autorisées. La mise à jour...
Score: 7.1
CVE-2026-39507 : Social Slider Feed
Hier / Aujourd'huiCe cross-site scripting (XSS) non authentifié permet à un attaquant d'injecter des scripts malveillants dans les pages. L'impact est élevé car aucune authentification n'est requise, pouvant voler des sessions ou rediriger les utilisateurs. Une...
Score: 7.1
CVE-2026-39514 : Paid Member Subscriptions
Hier / Aujourd'huiCe cross-site scripting (XSS) non authentifié permet à un attaquant d'injecter des scripts malveillants dans les pages. L'impact est élevé car aucune authentification n'est requise, pouvant voler des sessions ou rediriger les utilisateurs. Les...
Score: 7.1
CVE-2026-39518 : EventPrime
Hier / Aujourd'huiCette vulnérabilité de références directes d'objets non sécurisées (IDOR) affecte les abonnés, permettant l'accès à des données d'événements privés. L'impact est élevé car cela peut exposer des informations sensibles comme des détails...
Score: 7.1
CVE-2026-40732 : Notification for Telegram
Hier / Aujourd'huiCe XSS non authentifié permet à un attaquant d'injecter des scripts malveillants sans connexion, affectant les visiteurs du site. L'impact est significatif car peut voler des sessions ou rediriger vers des sites malveillants.
Score: 7.1
CVE-2026-40770 : Coupon Affiliates
Hier / Aujourd'huiCette vulnérabilité de type XSS non authentifié permet à un attaquant d'injecter du code malveillant dans le site, pouvant compromettre les sessions utilisateurs et voler des données sensibles. L'impact est modéré mais nécessite une interaction...
Score: 7.1
CVE-2026-40785 : AutomatorWP
Hier / Aujourd'huiCe défaut d'authentification par un abonné permet de contourner les restrictions de privilèges et d'accéder à des fonctionnalités avancées, compromettant la sécurité du site. L'impact est significatif car il peut mener à une escalade de privilèges.
Score: 7.1
CVE-2026-40787 : Quiz And Survey Master
Hier / Aujourd'huiCette vulnérabilité XSS non authentifié permet à un attaquant d'injecter du code malveillant dans les pages du site, pouvant voler des cookies ou rediriger les utilisateurs. L'impact est modéré mais nécessite une interaction utilisateur pour être...
Score: 7.1
CVE-2026-40788 : ChatBot
Hier / Aujourd'huiCe défaut de contrôle d'accès par un abonné permet d'accéder à des fonctionnalités réservées aux administrateurs, exposant des données sensibles ou permettant des modifications non autorisées. L'impact est significatif car il compromet la confidentialité.
Score: 7.1
CVE-2026-40791 : WP Time Slots Booking Form
Hier / Aujourd'huiCette vulnérabilité XSS non authentifié permet à un attaquant d'injecter du code malveillant dans les formulaires de réservation, pouvant compromettre les sessions utilisateurs. L'impact est modéré mais nécessite une interaction pour être exploitée.
Score: 7.1
CVE-2026-42649 : Favicon Rotator
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting (XSS) non authentifiée dans Favicon Rotator jusqu'à la version 1.2.11 permet à un attaquant d'injecter des scripts malveillants. Cela peut voler des cookies ou rediriger les visiteurs vers des...
Score: 7.1
CVE-2026-42658 : Classified Listing
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting (XSS) non authentifiée dans Classified Listing jusqu'à la version 5.3.8 permet à un attaquant d'injecter des scripts malveillants. Cela peut voler des cookies ou rediriger les visiteurs vers des...
Score: 7.1
CVE-2026-42686 : EventPrime
Hier / Aujourd'huiCette vulnérabilité XSS nécessitant un abonné permet à un utilisateur authentifié d'injecter du code malveillant dans les pages de l'événement. L'impact peut inclure le vol de sessions d'autres utilisateurs ou la diffusion de contenu indésirable.
Score: 7.1
CVE-2026-42775 : AutomatorWP
Hier / Aujourd'huiCette vulnérabilité XSS non authentifiée permet à un attaquant d'injecter du code malveillant dans les pages du plugin d'automatisation. L'impact inclut le vol de sessions ou la manipulation des workflows automatisés.
Score: 7.1
CVE-2026-45437 : Product Filter Widget for Elementor
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter du code malveillant dans le widget de filtre de produits. Cela peut affecter les visiteurs du site, entraînant le vol de données ou la redirection vers des sites frauduleux.
Score: 7.1
CVE-2026-48838 : Post SMTP
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting non authentifiée dans Post SMTP permet à un attaquant d'injecter des scripts malveillants dans les pages web. Un utilisateur visitant une page compromise peut voir ses cookies ou données de session volés.
Score: 7.1
CVE-2026-48867 : Quiz And Survey Master
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting non authentifiée dans Quiz And Survey Master permet à un attaquant d'injecter des scripts malveillants. Les utilisateurs peuvent être redirigés vers des sites malveillants ou voir leurs données compromises.
Score: 7.1
CVE-2026-48871 : MW WP Form
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting non authentifiée dans MW WP Form permet à un attaquant d'injecter des scripts malveillants. Les utilisateurs peuvent être exposés à du vol de données ou à des redirections frauduleuses.
Score: 7.1
CVE-2026-48876 : Stop Spammers
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting non authentifiée dans Stop Spammers permet à un attaquant d'injecter des scripts malveillants. Les utilisateurs peuvent être victimes de vol de cookies ou de redirections.
Score: 7.1
CVE-2026-48885 : HollerBox
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting non authentifiée dans HollerBox permet à un attaquant d'injecter des scripts malveillants. Les utilisateurs peuvent être exposés à du vol de données ou à des attaques de phishing.
Score: 7.1
CVE-2026-48966 : Funnel Builder by FunnelKit
Hier / Aujourd'huiUn attaquant non authentifié peut injecter des scripts malveillants dans les pages, affectant les visiteurs. Cela peut conduire au vol de cookies, à la redirection vers des sites malveillants ou à l'exécution d'actions non autorisées.
Score: 7.1
CVE-2026-49055 : Drag and Drop Multiple File Upload – Contact Form 7
Hier / Aujourd'huiUn attaquant non authentifié peut injecter des scripts XSS, affectant les utilisateurs du formulaire. Cela peut voler des informations de session ou rediriger vers des sites malveillants.
Score: 7.1
CVE-2026-52702 : SEO Redirection
Hier / Aujourd'huiUne vulnérabilité de type Cross-Site Scripting (XSS) non authentifiée existe dans SEO Redirection jusqu'à la version 9.17. Un attaquant peut injecter du code JavaScript malveillant qui s'exécute dans le navigateur des victimes.
Score: 7.1
CVE-2026-39468 : Meta Box – WordPress Custom Fields Framework
Hier / Aujourd'huiUne vulnérabilité de suppression arbitraire de fichiers par un contributeur permet à un utilisateur de supprimer des fichiers sensibles sur le serveur. Cela peut entraîner une perte de données ou une dégradation du site. La mise à jour vers la...
Score: 6.8
CVE-2025-64215 : MasterStudy LMS Pro
Hier / Aujourd'huiUn défaut d'autorisation dans MasterStudy LMS Pro permet à un attaquant d'accéder à des fonctionnalités non protégées par des ACL. Cela expose des fonctionnalités restreintes aux utilisateurs non autorisés avant la version 4.7.16.
Score: 6.5
CVE-2026-48969 : Really Simple SSL
Hier / Aujourd'huiUn contrôle d'accès cassé dans Really Simple SSL permet à un abonné d'exploiter des fonctionnalités non autorisées. Les versions jusqu'à 9.5.9 sont affectées par ce défaut de sécurité.
Score: 6.5
CVE-2025-15659 : Elizaibots
Hier / Aujourd'huiUn contributeur peut injecter des scripts XSS, compromettant l'intégrité du site. Cela permet des attaques de type vol de données ou redirection.
Score: 6.5
CVE-2026-8683 : Mattermost Desktop App
Hier / Aujourd'huiUn propriétaire de serveur malveillant peut planter l'application en ouvrant une URL très longue. Cela provoque un déni de service local.
Score: 6.5
CVE-2026-20262 : Cisco Catalyst SD-WAN Manager
Hier / Aujourd'huiUn attaquant authentifié peut créer ou écraser des fichiers système via un téléchargement non validé. Cela peut mener à une élévation de privilèges jusqu'à root.
Score: 6.5
CVE-2025-55642 : GPAC MP4Box
Hier / Aujourd'huiUne exception de virgule flottante dans le traitement de fichiers MP4 peut entraîner un déni de service. Un attaquant peut exploiter cette faille pour planter l'application.
Score: 6.5
CVE-2026-49953 : Discuz! X5.0
Hier / Aujourd'huiDiscuz! X5.0 contient une vulnérabilité de contournement CAPTCHA permettant à des attaquants distants non authentifiés de vaincre les contrôles de défi. Cela permet une automatisation des abus sur les fonctionnalités de connexion et...
Score: 6.5
CVE-2026-52718 : GStreamer
Hier / Aujourd'huiUne vulnérabilité de déni de service dans le parseur de codec AV1 de GStreamer provoque une désynchronisation du parseur. Un attaquant distant peut piéger un utilisateur en ouvrant un fichier AV1 malveillant, entraînant un crash de l'application...
Score: 6.5
CVE-2025-69332 : Bookify
Hier / Aujourd'huiCette faille de contrôle d'accès dans Bookify permet à un abonné d'accéder à des fonctionnalités non autorisées. Les versions antérieures à 1.1.1 sont concernées.
Score: 6.5
CVE-2026-34892 : Rank Math SEO
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé permet à un abonné d'accéder à des fonctionnalités non autorisées dans Rank Math SEO. Un attaquant pourrait exploiter cette faille pour modifier des paramètres sensibles ou accéder à des données...
Score: 6.5
CVE-2026-39491 : JupiterX Core
Hier / Aujourd'huiCe cross-site scripting (XSS) affecte les abonnés, permettant à un attaquant d'injecter des scripts malveillants dans les pages. L'impact est moyen car il nécessite une interaction utilisateur, mais peut voler des sessions ou rediriger vers des...
Score: 6.5
CVE-2026-39515 : Motors
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé affecte les abonnés, permettant à un attaquant d'accéder à des fonctionnalités restreintes. L'impact est moyen car nécessite un abonnement, mais peut exposer des données ou permettre des actions non...
Score: 6.5
CVE-2026-39525 : Booking Activities
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé permet à un attaquant non authentifié d'accéder à des fonctionnalités restreintes. L'impact est moyen car cela peut exposer des données de réservation ou permettre des modifications non autorisées....
Score: 6.5
CVE-2026-39540 : Shipment Tracker for Woocommerce
Hier / Aujourd'huiCette vulnérabilité XSS permet à un abonné d'injecter des scripts malveillants dans des pages web, affectant d'autres utilisateurs. L'impact est modéré car nécessite un compte, mais peut compromettre la sécurité des sessions et des données.
Score: 6.5
CVE-2026-39584 : RepairBuddy
Hier / Aujourd'huiCe défaut de contrôle d'accès permet à un abonné d'accéder à des fonctionnalités ou données réservées, compromettant la confidentialité. L'impact est modéré car nécessite un compte, mais peut exposer des informations sensibles.
Score: 6.5
CVE-2026-40743 : Tutor LMS
Hier / Aujourd'huiCe problème de contrôle d'accès non authentifié permet à un attaquant d'accéder à des fonctionnalités restreintes sans identification. L'impact est modéré mais peut exposer des données d'apprentissage ou des paramètres.
Score: 6.5
CVE-2026-40773 : rtMedia for WordPress, BuddyPress and bbPress
Hier / Aujourd'huiCe défaut de contrôle d'accès permet à un abonné d'accéder à des fonctionnalités ou données réservées aux administrateurs, compromettant la confidentialité et l'intégrité du site. L'impact est limité mais peut faciliter des escalades de privilèges.
Score: 6.5
CVE-2026-40782 : WPAdverts
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès non authentifié permet à un attaquant d'accéder à des fonctionnalités réservées aux utilisateurs connectés, exposant des données ou actions sensibles. L'impact est modéré mais peut faciliter des attaques...
Score: 6.5
CVE-2026-40790 : WP SMS
Hier / Aujourd'huiCette exposition de données sensibles par un abonné permet à un utilisateur authentifié d'accéder à des informations réservées, compromettant la confidentialité. L'impact est modéré mais peut être exploité pour des attaques ciblées.
Score: 6.5
CVE-2026-40793 : Groundhogg
Hier / Aujourd'huiCe défaut de contrôle d'accès par un abonné permet d'accéder à des fonctionnalités réservées aux administrateurs, exposant des données ou permettant des modifications non autorisées. L'impact est modéré mais peut faciliter des escalades de privilèges.
Score: 6.5
CVE-2026-40794 : myCred
Hier / Aujourd'huiCette faille de contrôle d'accès par un abonné permet de manipuler des points ou récompenses sans autorisation, affectant l'intégrité du système. L'impact est modéré mais peut être exploité pour des fraudes.
Score: 6.5
CVE-2026-40795 : Amelia
Hier / Aujourd'huiCe défaut de contrôle d'accès par un abonné permet d'accéder à des fonctionnalités réservées aux administrateurs, exposant des données sensibles ou permettant des modifications non autorisées. L'impact est modéré mais peut compromettre la confidentialité.
Score: 6.5
CVE-2026-40796 : WPPizza
Hier / Aujourd'huiCette vulnérabilité expose les données sensibles des abonnés dans le plugin WPPizza jusqu'à la version 3.19.9. Un attaquant pourrait accéder à des informations confidentielles sans privilèges élevés, compromettant la confidentialité des...
Score: 6.5
CVE-2026-41556 : ProfilePress
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting (XSS) dans ProfilePress jusqu'à la version 4.16.13 affecte les abonnés. Un attaquant peut injecter des scripts malveillants dans des pages web, volant des cookies ou redirigeant les utilisateurs....
Score: 6.5
CVE-2026-42378 : WP Full Stripe Free
Hier / Aujourd'huiCette faille d'authentification brisée dans WP Full Stripe Free jusqu'à la version 8.4.1 permet aux abonnés de contourner les contrôles d'accès. Un attaquant pourrait accéder à des fonctionnalités réservées aux administrateurs, compromettant...
Score: 6.5
CVE-2026-42640 : Classified Listing
Hier / Aujourd'huiCette faille de contrôle d'accès brisé non authentifiée dans Classified Listing jusqu'à la version 5.3.8 permet à un attaquant d'accéder à des fonctionnalités restreintes. Cela peut compromettre la gestion des annonces et des données utilisateur....
Score: 6.5
CVE-2026-42656 : Contest Gallery
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting (XSS) dans Contest Gallery jusqu'à la version 28.1.6 affecte les abonnés. Un attaquant peut injecter des scripts malveillants, volant des données ou redirigeant les utilisateurs. La correction...
Score: 6.5
CVE-2026-42659 : Advanced Form Integration
Hier / Aujourd'huiCette faille de contrôle d'accès brisé dans Advanced Form Integration jusqu'à la version 1.126.12 affecte les abonnés. Un attaquant pourrait accéder à des fonctionnalités réservées aux administrateurs, compromettant l'intégrité des formulaires....
Score: 6.5
CVE-2026-42660 : Contest Gallery
Hier / Aujourd'huiCette vulnérabilité expose les données sensibles des abonnés dans Contest Gallery jusqu'à la version 28.1.7. Un attaquant pourrait accéder à des informations confidentielles sans privilèges élevés, compromettant la confidentialité des...
Score: 6.5
CVE-2026-42662 : Event Tickets
Hier / Aujourd'huiUne faille de contournement non authentifié permet à un attaquant de bypasser les mécanismes de sécurité sans nécessiter de connexion. Cela expose le système à des accès non autorisés, compromettant la gestion des tickets et potentiellement les...
Score: 6.5
CVE-2026-42663 : Simple Membership
Hier / Aujourd'huiCette vulnérabilité XSS non authentifiée permet à un attaquant d'injecter du code malveillant dans les pages du plugin, affectant les visiteurs. L'impact inclut le vol de sessions ou la redirection vers des sites frauduleux, sans nécessiter...
Score: 6.5
CVE-2026-42688 : Modula Image Gallery
Hier / Aujourd'huiCette vulnérabilité XSS nécessitant un abonné permet à un utilisateur authentifié d'injecter du code malveillant dans la galerie d'images. L'impact inclut le vol de données ou la redirection d'autres utilisateurs vers des sites malveillants.
Score: 6.5
CVE-2026-42743 : Masteriyo - LMS
Hier / Aujourd'huiUne faille d'authentification brisée non authentifiée permet à un attaquant de contourner les contrôles d'accès sans connexion. Cela expose les fonctionnalités de gestion de l'apprentissage à des accès non autorisés, compromettant l'intégrité du système.
Score: 6.5
CVE-2026-42752 : Stripe Payments
Hier / Aujourd'huiUn contournement non authentifié permet à un attaquant de bypasser les mécanismes de sécurité du plugin de paiement. Cela peut entraîner des transactions frauduleuses ou un accès non autorisé aux données de paiement.
Score: 6.5
CVE-2026-48870 : King Addons for Elementor
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting nécessitant un abonné dans King Addons for Elementor permet à un utilisateur authentifié d'injecter des scripts. Les administrateurs visitant les pages affectées peuvent voir leurs sessions compromises.
Score: 6.5
CVE-2026-48878 : Visual Link Preview
Hier / Aujourd'huiCette vulnérabilité d'exposition de données sensibles nécessitant un abonné dans Visual Link Preview permet à un utilisateur authentifié d'accéder à des informations protégées. Des données privées peuvent être divulguées à des utilisateurs non autorisés.
Score: 6.5
CVE-2026-48880 : WP Job Portal
Hier / Aujourd'huiCette vulnérabilité de type Cross Site Scripting nécessitant un abonné dans WP Job Portal permet à un utilisateur authentifié d'injecter des scripts. Les administrateurs peuvent voir leurs sessions compromises.
Score: 6.5
CVE-2026-48887 : JS Help Desk
Hier / Aujourd'huiCette vulnérabilité permet à un attaquant non authentifié de contourner les contrôles d'accès, exposant potentiellement des fonctionnalités ou données sensibles. L'impact est modéré mais peut compromettre la confidentialité et l'intégrité du système.
Score: 6.5
CVE-2026-48965 : XCloner
Hier / Aujourd'huiUn abonné peut accéder à des données sensibles exposées, telles que des sauvegardes ou informations de configuration. Cela compromet la confidentialité des données et peut faciliter des attaques ultérieures.
Score: 6.5
CVE-2026-49773 : FV Flowplayer Video Player
Hier / Aujourd'huiCette vulnérabilité de cross-site scripting (XSS) par un abonné permet à un utilisateur authentifié d'injecter des scripts malveillants. L'impact est modéré mais peut conduire à un vol de session ou à une redirection vers des sites malveillants.
Score: 6.5
CVE-2026-49775 : Welcart e-Commerce
Hier / Aujourd'huiCette vulnérabilité de contrôle d'accès brisé non authentifié permet à un attaquant d'accéder à des fonctionnalités restreintes. L'impact est modéré mais peut entraîner une divulgation d'informations sensibles.
Score: 6.5
CVE-2016-20070 : WordPress Booking Calendar Contact Form
Hier / Aujourd'huiÉlévation de privilèges et XSS stockée permettant aux utilisateurs authentifiés de modifier les options du plugin et d'injecter des scripts.
Score: 6.4
CVE-2026-39594 : Ultra Addons for WPForms
Hier / Aujourd'huiCe défaut de contrôle d'accès permet à un abonné d'accéder à des fonctionnalités restreintes, affectant la confidentialité des données. L'impact est modéré car nécessite un compte, mais peut exposer des informations.
Score: 6.4
CVE-2026-12206 : Grit
Hier / Aujourd'huiUne injection SQL dans la fonction DataTableEntity de Grit permet à un attaquant distant de manipuler la base de données. L'exploit public augmente le risque, mais le vendeur n'a pas répondu. La mise à jour vers une version supérieure à 0.11.0...
Score: 6.3
CVE-2026-12210 : python-utcp
Hier / Aujourd'huiUne falsification de requête côté serveur (SSRF) dans python-utcp permet à un attaquant distant de faire des requêtes non autorisées. L'exploit public augmente le risque, mais le vendeur n'a pas répondu. La mise à jour vers une version corrigée...
Score: 6.3
CVE-2026-12219 : SIP-T46U
Hier / Aujourd'huiUne injection de commande dans le service Web FastCGI du Yealink SIP-T46U permet à un attaquant distant d'exécuter des commandes arbitraires. L'exploit public facilite l'attaque, mais le vendeur n'a pas fourni de correctif. L'impact est critique...
Score: 6.3
CVE-2026-6517 : Mattermost Desktop App
Hier / Aujourd'huiUn attaquant peut intercepter les identifiants NTLM des utilisateurs en intégrant une image redirigeant vers un serveur externe. Cela compromet la confidentialité des informations d'authentification.
Score: 6.3
CVE-2025-68049 : bunny.net
Hier / Aujourd'huiCette faille de contrôle d'accès dans bunny.net permet à un abonné d'accéder à des fonctionnalités non autorisées. Les versions antérieures à 2.3.6 sont concernées.
Score: 6.3
CVE-2026-39451 : WP Google Review Slider
Hier / Aujourd'huiUne vulnérabilité XSS non authentifiée permet à un attaquant d'injecter des scripts dans les avis Google affichés, affectant les visiteurs. Cela peut compromettre les données de navigation ou rediriger vers des sites malveillants. La mise à jour...
Score: 6.3
CVE-2026-40792 : KiviCare
Hier / Aujourd'huiCette vulnérabilité IDOR par un abonné permet d'accéder à des objets ou données d'autres utilisateurs sans autorisation, compromettant la confidentialité. L'impact est modéré mais peut être utilisé pour collecter des informations sensibles.
Score: 6.3
CVE-2026-42651 : Classified Listing
Hier / Aujourd'huiCette faille de contrôle d'accès brisé dans Classified Listing jusqu'à la version 5.3.9 affecte les abonnés. Un attaquant pourrait accéder à des fonctionnalités réservées aux administrateurs, compromettant la gestion du site. La mise à jour vers...
Score: 6.3
CVE-2016-20077 : WordPress Photocart Link
Hier / Aujourd'huiUne inclusion de fichier local dans decode.php permet à un attaquant non authentifié de lire des fichiers arbitraires en encodant en base64 le chemin dans le paramètre 'id'. Cela expose des données sensibles comme les identifiants de base de...
Score: 6.2
CVE-2016-20078 : WordPress IMDb Profile Widget
Hier / Aujourd'huiLa manipulation du paramètre url dans pic.php permet à un attaquant non authentifié d'effectuer une inclusion de fichier local via des séquences de traversée de répertoire. Cela permet de lire des fichiers sensibles comme wp-config.php contenant...
Score: 6.2
CVE-2016-20079 : WordPress Dharma Booking
Hier / Aujourd'huiUne inclusion de fichier local dans proccess.php via le paramètre gateway permet à un attaquant non authentifié de lire des fichiers arbitraires. L'utilisation de traversées de répertoire ou d'injection de null byte expose des fichiers de...
Score: 6.2
CVE-2016-20080 : WordPress Brandfolder
Hier / Aujourd'huiLa vulnérabilité dans callback.php permet à un attaquant non authentifié d'inclure des fichiers arbitraires via le paramètre wp_abspath. L'exploitation de traversées de répertoire ou d'URL distantes peut conduire à la lecture de fichiers...
Score: 6.2
CVE-2016-20082 : WordPress Abtest
Hier / Aujourd'huiUne inclusion de fichier local dans abtest_admin.php via le paramètre action permet à un attaquant non authentifié d'inclure des fichiers arbitraires. Cela peut conduire à l'exécution de code malveillant en incluant des fichiers du répertoire admin.
Score: 6.2
CVE-2026-49294 : Valhalla
Hier / Aujourd'huiUne vulnérabilité XSS réfléchie via le paramètre JSONP callback permet d'injecter du code JavaScript. Un attaquant peut voler des tokens de session ou effectuer des actions au nom de la victime.
Score: 6.1
CVE-2026-48157 : Slim
Hier / Aujourd'huiSlim Framework est vulnérable à une injection XSS via les méthodes setTitle() et setDescription() de HttpException. Les applications qui utilisent des données non fiables dans ces méthodes peuvent permettre à un attaquant d'injecter du...
Score: 6.1
CVE-2025-15658 : WP Emmet
Hier / Aujourd'huiCette vulnérabilité XSS permet à un administrateur d'injecter des scripts malveillants. Elle peut entraîner le vol de sessions ou la modification de contenu.
Score: 5.9
CVE-2026-42655 : Best Payments Plugin for WP
Hier / Aujourd'huiCette vulnérabilité de contournement non authentifiée dans Best Payments Plugin for WP jusqu'à la version 4.6.19 permet à un attaquant de bypasser les mécanismes de sécurité. Cela peut entraîner un accès non autorisé à des fonctionnalités de...
Score: 5.9
CVE-2026-12223 : Yealink SIP-T46U
Hier / Aujourd'huiInjection de commande dans le service Web FastCGI via les arguments ip/port. Un attaquant local peut exécuter des commandes système.
Score: 5.5
CVE-2025-55641 : GPAC MP4Box
Hier / Aujourd'huiUn déni de service par déréférencement de pointeur NULL peut être causé par un fichier MP4 malveillant. Cela provoque un crash de l'application.
Score: 5.5
CVE-2025-55643 : GPAC MP4Box
Hier / Aujourd'huiUn déni de service par déréférencement de pointeur NULL dans le gestionnaire de pistes peut être déclenché par un fichier MP4 malveillant. Cela provoque un crash.
Score: 5.5
CVE-2025-55644 : GPAC MP4Box
Hier / Aujourd'huiUne vulnérabilité use-after-free dans le graphe de scène peut causer un déni de service. Un fichier MP4 malveillant peut corrompre la mémoire et planter l'application.
Score: 5.5
CVE-2025-55645 : GPAC MP4Box
Hier / Aujourd'huiUn débordement de tampon dans le gestionnaire DRM peut causer un déni de service. Un fichier MP4 malveillant peut corrompre la mémoire et planter l'application.
Score: 5.5
CVE-2025-55647 : GPAC MP4Box
Hier / Aujourd'huiUn déni de service par épuisement de la mémoire peut être causé par un fichier MP4 malveillant. Cela affecte la disponibilité de l'application.
Score: 5.5
CVE-2025-55648 : GPAC MP4Box
Hier / Aujourd'huiCette vulnérabilité de dépassement de tampon dans la fonction gf_opus_parse_packet_header de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service en fournissant un fichier MP4 malveillant. L'impact est limité à la disponibilité...
Score: 5.5
CVE-2025-55649 : GPAC MP4Box
Hier / Aujourd'huiUn déréférencement de pointeur nul dans la fonction gf_media_map_esd de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service via un fichier MP4 malveillant. Cette vulnérabilité affecte uniquement la disponibilité du logiciel.
Score: 5.5
CVE-2025-55650 : GPAC MP4Box
Hier / Aujourd'huiUne utilisation après libération dans la fonction gf_node_get_tag de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service en fournissant un fichier MP4 malveillant. L'impact se limite à une indisponibilité du service.
Score: 5.5
CVE-2025-55652 : GPAC MP4Box
Hier / Aujourd'huiUn dépassement de tampon dans la fonction gf_isom_vp_config_new de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service via un fichier MP4 malveillant. Cette vulnérabilité n'affecte que la disponibilité du logiciel.
Score: 5.5
CVE-2025-55660 : GPAC MP4Box
Hier / Aujourd'huiUn débordement de pile dans la fonction gf_opus_read_length de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service en fournissant un fichier MP4 malveillant. L'impact est limité à une indisponibilité du service.
Score: 5.5
CVE-2025-55661 : GPAC MP4Box
Hier / Aujourd'huiUn dépassement de tampon dans le composant d'analyse du flux audio Opus de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service via un fichier MP4 malveillant. Cette vulnérabilité affecte uniquement la disponibilité.
Score: 5.5
CVE-2025-55663 : GPAC MP4Box
Hier / Aujourd'huiUne violation de segmentation dans la fonction Track_SetStreamDescriptor de GPAC MP4Box v2.4 permet à un attaquant de provoquer un déni de service en fournissant un fichier MP4 malveillant. L'impact se limite à une indisponibilité du service.
Score: 5.5
CVE-2026-11931 : Kiro IDE
Hier / Aujourd'huiDes permissions par défaut incorrectes dans Kiro IDE sur macOS et Linux avant la version 0.11.133 exposent le fichier cache de jetons d'authentification à d'autres utilisateurs locaux via des permissions mondialement lisibles. Cela peut entraîner...
Score: 5.5
CVE-2026-9278 : Form Builder CP WordPress plugin
Hier / Aujourd'huiStockage non sécurisé de valeurs de configuration permettant une injection XSS stockée, affectant les visiteurs des pages contenant le formulaire.
Score: 5.4
CVE-2026-39527 : WpStream
Hier / Aujourd'huiCette vulnérabilité permet à un abonné de télécharger des fichiers arbitraires, ce qui peut conduire à une exécution de code non autorisée ou à un accès non désiré aux données. L'impact est modéré car nécessite un compte abonné, mais peut...
Score: 5.4
CVE-2026-12201 : Malware Fighter
Hier / Aujourd'huiUn problème de permissions dans le gestionnaire DLL de Malware Fighter permet à un attaquant local d'élever ses privilèges. L'exploit public facilite l'attaque, mais nécessite un accès local. Aucun correctif n'est disponible car le vendeur n'a...
Score: 5.3
CVE-2026-12203 : AI-Trader
Hier / Aujourd'huiUne divulgation d'informations dans le point de terminaison Research Export permet à un attaquant distant d'accéder à des données sensibles. L'exploit public augmente le risque, mais un correctif est disponible via le commit 91a31aac. La mise à ...
Score: 5.3
CVE-2026-12208 : jsonata
Hier / Aujourd'huiUne modification incontrôlée des attributs du prototype d'objet dans jsonata permet à un attaquant distant de corrompre l'exécution. L'exploit public augmente le risque, mais le vendeur n'a pas répondu. La mise à jour vers une version supérieure...
Score: 5.3
CVE-2026-12209 : avalon
Hier / Aujourd'huiUne modification incontrôlée des attributs du prototype d'objet dans le gestionnaire de filtres de template d'avalon permet à un attaquant distant de corrompre l'exécution. L'exploit public facilite l'attaque, mais le vendeur n'a pas fourni de correctif.
Score: 5.3
CVE-2026-12216 : duktape
Hier / Aujourd'huiUne corruption de mémoire dans le traitement du bytecode de duktape permet à un attaquant local de provoquer un déni de service ou une exécution de code. L'exploit public augmente le risque, mais le vendeur n'a pas fourni de correctif. La mise à ...
Score: 5.3
CVE-2026-8385 : WP Go Maps WordPress plugin
Hier / Aujourd'huiContournement du filtre d'approbation des marqueurs via admin-ajax, exposant des données non approuvées aux visiteurs non authentifiés.
Score: 5.3
CVE-2026-8386 : WP Go Maps WordPress plugin
Hier / Aujourd'huiAbsence de filtrage d'approbation sur le point de terminaison REST public, permettant la récupération de marqueurs non approuvés et de données sensibles.
Score: 5.3
CVE-2026-44188 : Ansible Lightspeed
Hier / Aujourd'huiExpiration de session insuffisante permettant à un attaquant de maintenir un accès persistant avec un jeton OAuth volé, exposant des données sensibles.
Score: 5.3
CVE-2016-20083 : WordPress More Fields
Hier / Aujourd'huiUne vulnérabilité de cross-site request forgery permet à un attaquant de forcer un administrateur connecté à ajouter ou supprimer des champs personnalisés. L'absence de validation CSRF dans options-general.php permet des actions non autorisées...
Score: 5.3
CVE-2026-5038 : multer
Hier / Aujourd'huiUn déni de service par épuisement de l'espace disque est possible via des téléchargements interrompus. Les fichiers orphelins s'accumulent sans nettoyage, affectant la disponibilité.
Score: 5.3
CVE-2026-9595 : webpack-dev-server
Hier / Aujourd'huiCette vulnérabilité permet de fuiter les cookies et l'en-tête Origin vers un proxy malveillant. Elle contourne la validation d'hôte et corrompt le socket HMR.
Score: 5.3
CVE-2026-52721 : GStreamer
Hier / Aujourd'huiPlusieurs lectures hors limites dans l'élément pcapparse de GStreamer lors de l'analyse d'en-têtes IPv4/TCP peuvent provoquer un crash ou une divulgation d'informations. L'exposition est limitée car cet élément est principalement utilisé dans des...
Score: 5.3
CVE-2026-25440 : Essential Addons for Elementor
Hier / Aujourd'huiCette faille de contrôle d'accès non authentifié dans Essential Addons for Elementor permet à un attaquant d'accéder à des fonctionnalités non autorisées. Les versions antérieures à 6.6.0 sont concernées.
Score: 5.3
CVE-2026-40799 : Simple Cloudflare Turnstile
Hier / Aujourd'huiCette faille d'authentification brisée non authentifiée dans Simple Cloudflare Turnstile jusqu'à la version 1.38.0 permet de contourner les mécanismes de sécurité. Un attaquant pourrait accéder à des fonctionnalités protégées sans vérification...
Score: 5.3
CVE-2026-42657 : Contest Gallery
Hier / Aujourd'huiCette vulnérabilité non authentifiée d'un autre type dans Contest Gallery jusqu'à la version 28.1.7 permet à un attaquant d'exploiter une faille de sécurité non spécifiée. Cela peut compromettre la stabilité du site ou exposer des données. La...
Score: 5.3
CVE-2026-10634 : Zephyr
Hier / Aujourd'huiCette vulnérabilité use-after-free dans la pile TCP peut causer un déni de service ou une divulgation d'informations. Un attaquant peut exploiter une condition de concurrence pour corrompre la mémoire.
Score: 4.8
CVE-2026-49043 : WP Migrate Lite
Hier / Aujourd'huiUn attaquant non authentifié peut forcer un utilisateur à exécuter des actions non désirées, comme la migration de données. L'impact est limité mais peut entraîner des modifications non autorisées.
Score: 4.7
CVE-2025-60175 : PopAd
Hier / Aujourd'huiCette vulnérabilité SSRF dans PopAd permet à un administrateur de forger des requêtes côté serveur. Les versions antérieures à 1.0.4 sont impactées.
Score: 4.4
CVE-2026-39489 : Download Monitor
Hier / Aujourd'huiCette vulnérabilité permet à un attaquant authentifié en tant qu'auteur de télécharger arbitrairement des fichiers du serveur. L'impact est modéré car l'accès nécessite des privilèges, mais peut exposer des fichiers sensibles. Une mise à jour...
Score: 4.4
CVE-2026-12207 : medkey
Hier / Aujourd'huiUn contrôle inadéquat des identifiants de ressources dans l'API REST de medkey permet à un attaquant distant d'accéder à des données patient non autorisées. L'exploit public facilite l'attaque, mais le vendeur n'a pas fourni de correctif....
Score: 4.3
CVE-2026-12212 : Huly Platform
Hier / Aujourd'huiUn contrôle d'accès inadéquat dans l'interface RPC de Huly Platform permet à un attaquant distant d'accéder à des fonctions sensibles. L'exploit public facilite l'attaque, mais le vendeur n'a pas fourni de correctif. L'impact est limité mais...
Score: 4.3
CVE-2026-12213 : Huly Platform
Hier / Aujourd'huiUne autorisation inadéquate dans le gestionnaire d'informations utilisateur de Huly Platform permet à un attaquant distant d'accéder à des données utilisateur non autorisées. L'exploit public augmente le risque, mais le vendeur n'a pas répondu....
Score: 4.3
CVE-2016-20067 : WordPress CP Polls
Hier / Aujourd'huiCSRF permettant à un attaquant d'effectuer des actions non autorisées sur les sondages via des pages HTML malveillantes.
Score: 4.3
CVE-2016-20074 : WordPress Lazy Content Slider Plugin
Hier / Aujourd'huiCSRF permettant à un attaquant de modifier les paramètres de configuration du plugin via des formulaires HTML malveillants.
Score: 4.3
CVE-2026-48518 : MultiJuicer
Hier / Aujourd'huiCette vulnérabilité de type Cross-Site Request Forgery (CSRF) permet à un attaquant de forcer un utilisateur à rejoindre son équipe sans son consentement. L'impact inclut le vol de points dans un contexte CTF ou l'exposition de données sensibles...
Score: 4.3
CVE-2026-48709 : OliveTin
Hier / Aujourd'huiLe point de terminaison ValidateArgumentType dans OliveTin est accessible sans authentification, même lorsque la configuration de sécurité exige une connexion. Cela permet à un attaquant non authentifié d'énumérer les identifiants de liaisons...
Score: 3.7
Watch SpaceX Dragon cargo capsule head home to Earth today
16/06/2026 04:05A SpaceX Dragon cargo spacecraft is scheduled to begin its journey back to Earth today (June 16), and you can watch the action live.
Nebraska’s Wide, Rolling Domain
16/06/2026 04:01Earth Observatory Science Earth Observatory Nebraska’s Wide, Rolling Domain Earth Earth Observatory Image of the Day EO Explorer Topics All Topics Atmosphere Land Heat & Radiation Life on Earth Human Dimensions Natural Events Oceans Remote...
Technicians work on Astrobotic’s Griffin-1 lander inside a cleanroom at the company’s facility in Pittsburgh, Pennsylvania on Monday, June 15, 2026. Image: Will Robinson-Smith/Spaceflight Now Astrobotic showed off its nearly completed lunar...
Explore JPL to Take Place Oct. 10, 11
16/06/2026 00:34Visitors are welcome to Explore JPL to learn more about space exploration, robotics, and technology being developed at NASA’s Jet Propulsion Laboratory. Tickets for the popular, free event become available on Aug. 29 and go fast.NASA/JPL-Caltech...
Astrobotic unveils Griffin-1 lunar lander for NASA Moon Base mission
15/06/2026 20:00Astrobotic unveiled its next lander headed to the moon: Griffin-1, which will carry one of the heaviest payloads ever delivered to the lunar surface.
SpaceX sends 24 Starlink satellites to orbit on 1st launch as a public company (video)
15/06/2026 19:27A SpaceX Falcon 9 rocket carrying 24 Starlink satellites lifted off from Vandenberg Space Force Base in California on Monday, June 15, 2026.
These are the 7 best sci-fi games I saw at Summer Game Fest 2026
15/06/2026 19:00This is where the fun begins.
6 Min Read NASA’s Chandra Finds Unexpected Fireworks in Aftermath of Stellar Explosions To view this video please enable JavaScript, and consider upgrading to a web browser that supports HTML5 video A composite image of the nearby galaxy Messier...
NASA Astronauts to Answer Questions from New Jersey Students
15/06/2026 18:06NASA astronauts Jessica Meir and Chris Williams collect frozen research samples while living and working aboard the International Space Station. Credit: ESA/Sophie Adenot Students in New Jersey will hear from NASA astronauts Chris Williams and...
Scientists await a big splash in the Pacific Ocean as one of the most research-packed Dragon spacecraft to date returns, completing the 34th SpaceX commercial resupply mission to the International Space Station for NASA. Biological and materials...
'Everybody came with their A-game': Oscar-winning sound editor Andy Nelson talks reuniting with Spielberg & John Williams for 'Disclosure Day'
15/06/2026 17:00'The truth is, everybody came with their A-game. Because the script called for it. Steven definitely calls for it.'
Frontiers Forum Speaker Series
15/06/2026 16:233 min readPreparations for Next Moonwalk Simulations Underway (and Underwater) Aya Collins, director of the engagement division of NASA’s Office of Communications, moderates a discussion with, from left to right, NASA astronauts Zena Cardman,...
NASA's Chandra X-ray spacecraft has detected the supernova wreckage of a dead star that erupted 1,700 years ago and ejected debris at 2 million miles per hour.
NASA Astronaut Anil Menon Available for Prelaunch Virtual Interviews
15/06/2026 15:02NASA astronaut and International Space Station Expedition 74/75 flight engineer Anil Menon poses for a portrait at NASA’s Johnson Space Center in Houston.NASA/James Blair NASA astronaut Anil Menon will be available for limited media interviews...
Live from the moon! How lasers connected us all to NASA's Artemis 2 astronauts on their epic lunar trip
15/06/2026 15:00A laser system, previously tested on board the International Space Station, helped to stream video directly from the Artemis 2 mission on its way around the moon.
San Francisco’s Patchwork Streets
15/06/2026 14:30A period of unsettled weather brought scattered showers and thunderstorms to California’s Bay Area on May 27, 2026. That afternoon, a break in the clouds left downtown San Francisco and nearby communities beneath mostly cloud-free skies, allowing...
Experience the Launch of NASA’s Roman Space Telescope
15/06/2026 14:288 Min Read Experience the Launch of NASA’s Roman Space Telescope Are you ready for a new view of the universe? The Nancy Grace Roman Space Telescope will reveal distant worlds, dark energy, and the structure of the cosmos, and we want you to be a...
Hubble spies a swarm of stars in a strange, irregular galaxy | Space photo of the day for 15, 2026
15/06/2026 14:00This faint galaxy is hard to look away from.
Metrics
15/06/2026 13:572 Min Read Metrics Services Catalog Click here to view the FY26 Services Catalog The catalogs provide service description, chargeback rate, unit of measure, and service level indicators for each NSSC service. Service Level Agreement (SLA) Click...
Scientists find strange changes on sun hours before a powerful X9 solar flare: 'I was not expecting what I found'
15/06/2026 13:00These results could benefit space weather forecasts.
Aucun article spatial disponible
Oracle divise par deux son offre ARM gratuite, sans prévenir
15/06/2026 21:17Si vous faites tourner un petit serveur gratuit chez Oracle, je vous invite prestement, comme dirait Godefroy, à aller vérifier votre compte. Car oui mes amis, Oracle vient de diviser par deux son offre "Always Free" sur les machines ARM, et ils...
Google Earth - Un simulateur de vol planqué dans un menu
15/06/2026 16:39Google a planqué un vrai petit simulateur de vol dans Google Earth, et quasiment personne n'en a parlé encore... C'est tout en bas du menu Tools, une option "Flight simulator" estampillée "Experimental". Vous cliquez dessus, et hop, vous voilà ...
Un bricoleu, MarcellF , s'est mis en tête de produire lui-même l'écran fluorescent qui rend les rayons X visibles. Le genre de composant qu'on imagine sorti d'un labo d'imagerie. Sauf qu'il y est parvenu dans son atelier, en mélangeant des sels...
dnsweaver - DNS automatique pour Docker, Proxmox et K8s
15/06/2026 13:55Si vous hébergez vos propres services derrière une IP dynamique, vous connaissez sans doute des outils merveilleux comme DynDNS, NoIP, ou encore Cloudflare DDNS. Sauf que dès que votre homelab mélange du Docker, du Proxmox et un cluster...
Régie des eaux US piratée - Le bluff iranien de Handala
15/06/2026 10:30Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce...
RAMwavDroid - Et si on Ă©coutait les malwares Android ?
15/06/2026 10:15Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement...
Ironsmith - DĂ©crivez votre app Mac et l'IA la forgera
15/06/2026 09:39Si vous êtes sous macOS, vous avez peut-être une petite app en tête, un truc tout bête que vous cherchez depuis des années sur Korben.info ou ailleurs sans jamais le trouver. Par exemple une app pour renommer des dossier de captures par date et...
Pac-Hunt - Vengez enfin les fantĂ´mes de Pac-Man
15/06/2026 07:37Je ne sais pas si vous avez déjà joué à Pac-Man parce que c'est quand même un bon vieux jeu de boomer, mais si c'est le cas, vous avez peut-être déjà ressenti un peu de peine pour ces petits fantômes qui se font avaler tout cru par ce déglingot...
CrankGPT : l'IA à manivelle qui se mérite à la force des bras
14/06/2026 14:50CrankGPT vous connaissez ? Elle fait tourner un assistant vocal complet, reconnaissance de la voix comprise, sans prise murale, sans batterie et sans serveur distant, et pour l'alimenter vous tournez une manivelle dont la résistance grimpe quand...
Des listes de cybercriminels à télécharger
13/06/2026 15:05Si vous faites un peu de renseignements (OSINT) et que ce que vous cherchez, c'est des pseudos de cybercriminels, spmedia a un truc qui devrait vous plaire. Son repo GitHub Threat-Actor-Usernames-Scrape rassemble environ 773 000 pseudos uniques...
Grasp - Et si votre code ne dépendait plus d'une boîte ?
13/06/2026 14:50Grasp , c'est une alternative décentralisée à GitHub, signée DanConwayDev, le dev derrière ngit. Ça carbure à Nostr , le protocole décentralisé de fiatjaf, et l'idée avec ce truc, c'est que votre identité de dev, ce n'est plus un compte avec un...
Save Stargate - Les fans se mobilisent contre Amazon
13/06/2026 07:22Si, comme moi, vous êtes un grand fan de la série Stargate , accrochez-vous bien parce que la Porte des Etoiles secoue plutôt pas mal ces derniers jours. J'sais pas si vous saviez mais en novembre dernier, Amazon avait annoncé une nouvelle série,...
Vendredi soir, vers 23h heure de Paris, Anthropic a reçu un courrier du gouvernement américain. Trois heures plus tard, ses deux modèles d'IA les plus avancés étaient hors ligne. Partout. Pour tout le monde. Anthropic, c'est le concurrent direct...
AUR Arch Linux - 400 paquets vérolés, êtes-vous touché ?
12/06/2026 15:54Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne...
PulseLoop libère les bagues connectées à 7 dollars
12/06/2026 15:437 dollars, c'est le prix d'une bague connectée chinoise sur AliExpress, et c'est surtout tout ce que Saksham Bhutani a payé pour se bricoler un coach santé privé. Son truc s'appelle PulseLoop , et c'est une app iPhone open source qui transforme...
Telegram Drive - Vos messages transformés en stockage cloud
12/06/2026 15:16Comme beaucoup d'âmes en peine, vous utilisez les messages enregistrés sur Telegram comme un gros dépotoir pour stocker tous vos fichiers en vrac ? C'est pas con, mais pour retrouver un PDF précis ou streamer une vidéo là -dedans, c'est vite la...
Vingt et un ans après sa création par Linus Torvalds, Git amorce pour de bon son changement de langage. La première version de test de Git 2.55, publiée hier, active par défaut le code Rust dans le gestionnaire de versions le plus utilisé au...
CorridorKey - Le détourage de fond vert par IA
12/06/2026 07:40Détourer un sujet filmé sur un fond vert, c'est le cauchemar classique du compositing. Entre les cheveux rebelles, le flou de mouvement et cette satanée frange verte sur les bords, on y passe vite des heures. Faut dire que la plupart des outils...
DiffusionGemma : le nouveau modèle de Google écrit son texte d'un bloc, et 4 fois plus vite
12/06/2026 07:32Plus de 1 000 tokens par seconde sur une seule carte H100, l'accélérateur que Nvidia vend aux centres de données, et environ 700 sur une RTX 5090, sa carte gaming haut de gamme. C'est le débit que Google DeepMind annonce pour DiffusionGemma, son...
SteelSeries Sonar - L'alternative gratuite Ă Voicemeeter
12/06/2026 06:23Si vous voulez mixer vos sources audio sous Windows sans y passer vos nuits en mode David Guetta, vous allez kiffer SteelSeries Sonar et enfin dire adieu à l'interface imbuvable de Voicemeeter et la configuration ultra-pénible d'Equalizer APO !...
Aucun article geek disponible