Vulnerabilità identificate da Horizon nel corso delle attività di security assessments e ricerca
ManageEngine ADSelfService Plus privilege escalation - CVE-2021-27214
Horizon Security ha individuato una vulnerabilità di tipologia Server-side request forgery (SSRF) in un componente di ManageEngine ADSelfService Plus che affligge la versione 6013 e precedenti e permette ad un attaccante di effettuare un attacco di privilege escalation.
Venerdì, 19 Febbraio 2021Horizon Security Staff
HP Sure Sense privilege escalation - CVE-2020-6913
Horizon Security ha individuato una vulnerabilità di tipo unquoted service path che permette ad un utente di effettuare privilege escalation.
Venerdì, 10 Aprile 2020Horizon Security Staff
Multiple XSS and CSRF in TIBCO ActiveMatrix - CVE-2019-8991, CVE-2019-11203
Horizon Security ha individuato molteplici vulnerabilità di tipo XSS e CSRF nell'interfaccia web amministrativa, REST API, workspace client e openspace client di TIBCO ActiveMatrix BMP. Queste vulnerabilità possono permettere ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, e far eseguire ad un utente autenticato azioni indesiderate nel contesto della web application.
Martedì, 21 Maggio 2019Horizon Security Staff
XSS in Aruba Instant - CVE-2018-7064
Horizon Security ha individuato una vulnerabilità di tipo XSS nell'interfaccia web di Aruba Instant, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Horizon Security ha identificato una vulnerabilità di tipo "command injection" che porta ad esecuzione di codice da remoto nell'applicazione web utilizzata dalle stampanti AltaLink di Xerox.
Lunedì, 28 Gennaio 2019Horizon Security Staff
Microsoft Sharepoint Remote Privilege Escalation Vulnerability - CVE-2018-1014
Horizon Security ha individuato una vulnerabilità di tipo Open Redirect nei prodotti Microsoft Sharepoint On-Premise e Online, utilizzabile per condurre attacchi di phishing.
Horizon Security ha identificato una vulnerabilità di tipo "command injection" che porta ad esecuzione di codice da remoto nel router di Fastweb FastGate.
Giovedì, 13 Dicembre 2018Horizon Security Staff
XSS in Telligent Community - CVE-2018-16235
Horizon Security ha individuato una vulnerabilità di tipo XSS nel widget "feed RSS" del CMS Telligent Community, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Mercoledì, 21 Novembre 2018Horizon Security Staff
Multiple XSS in Oracle PeopleSoft - CVE-2018-3205, CVE-2018-3206, CVE-2018-3207
Horizon Security ha individuato vulnerabilità multiple di tipo XSS all'interno di Oracle PeopleSoft, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Martedì, 16 Ottobre 2018Horizon Security Staff
Multiple XSS in IBM Websphere Portal - CVE-2018-1673
Horizon Security ha individuato vulnerabilità multiple di tipo XSS all'interno di IBM Websphere Portal, che permette ad un attaccante di eseguire codice JavaScript all'interno del browser dell'utente, nel contesto della web application.
Martedì, 25 Settembre 2018Horizon Security Staff
CSRF in Avaya Aura® Orchestration Designer - CVE-2018-15612
Horizon Security ha individuato vulnerabilità di tipo Cross-site request forgery in Avaya Aura® Orchestration Designer, che permette ad un attaccante di formare l'utente vittima a modificare impostazioni amministrative (es. creazione nuove utenze, modifica password)
Venerdì, 21 Settembre 2018Horizon Security Staff
SQL Injection in RSA Archer - CVE-2018-11065
Horizon Security ha individuato una vulnerabilità di tipo SQL Injection in RSA Archer, che permette ad un attaccante di eseguire query arbitrarie sul database di backend, ad esempio per estrarre dati in modo non autorizzato