Vulnerabilità identificate da Horizon nel corso delle attività di security assessments e ricerca
Horizon Security ha individuato una vulnerabilità di tipologia Server-side request forgery (SSRF) in un componente di ManageEngine ADSelfService Plus che affligge la versione 6013 e precedenti e permette ad un attaccante di effettuare un attacco di privilege escalation.
Venerdì, 19 Febbraio 2021
Horizon Security Staff
Horizon Security ha individuato una vulnerabilità di tipo unquoted service path che permette ad un utente di effettuare privilege escalation.
Venerdì, 10 Aprile 2020Horizon Security Staff
Horizon Security ha individuato molteplici vulnerabilità di tipo XSS e CSRF nell'interfaccia web amministrativa, REST API, workspace client e openspace client di TIBCO ActiveMatrix BMP. Queste vulnerabilità possono permettere ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, e far eseguire ad un utente autenticato azioni indesiderate nel contesto della web application.
Martedì, 21 Maggio 2019Horizon Security Staff
Horizon Security ha individuato una vulnerabilità di tipo XSS nell'interfaccia web di Aruba Instant, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Giovedì, 28 Febbraio 2019Horizon Security Staff
Horizon Security ha identificato una vulnerabilità di tipo "command injection" che porta ad esecuzione di codice da remoto nell'applicazione web utilizzata dalle stampanti AltaLink di Xerox.
Lunedì, 28 Gennaio 2019Horizon Security Staff
Horizon Security ha individuato una vulnerabilità di tipo Open Redirect nei prodotti Microsoft Sharepoint On-Premise e Online, utilizzabile per condurre attacchi di phishing.
Venerdì, 28 Dicembre 2018Horizon Security Staff
Horizon Security ha identificato una vulnerabilità di tipo "command injection" che porta ad esecuzione di codice da remoto nel router di Fastweb FastGate.
Giovedì, 13 Dicembre 2018Horizon Security Staff
Horizon Security ha individuato una vulnerabilità di tipo XSS nel widget "feed RSS" del CMS Telligent Community, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Mercoledì, 21 Novembre 2018Horizon Security Staff
Horizon Security ha individuato vulnerabilità multiple di tipo XSS all'interno di Oracle PeopleSoft, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Martedì, 16 Ottobre 2018Horizon Security Staff
Horizon Security ha individuato vulnerabilità multiple di tipo XSS all'interno di IBM Websphere Portal, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Martedì, 25 Settembre 2018Horizon Security Staff
Horizon Security ha individuato vulnerabilità di tipo Cross-site request forgery in Avaya Aura® Orchestration Designer, che permette ad un attaccante di formare l'utente vittima a modificare impostazioni amministrative (es. creazione nuove utenze, modifica password)
Venerdì, 21 Settembre 2018Horizon Security Staff
Horizon Security ha individuato una vulnerabilità di tipo SQL Injection in RSA Archer, che permette ad un attaccante di eseguire query arbitrarie sul database di backend, ad esempio per estrarre dati in modo non autorizzato
Venerdì, 31 Agosto 2018Horizon Security Staff