우커머스 네 Been페 Been <= 3.3.7 - 通过 mnp_purchase 短代码进行身份验证（贡献者+）存储的跨站点脚本 (CVE-2024-11231) CVE编号 CVE-2024-11231 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 这个问题描述的是一个网络安全漏洞，而非涉政问题。它涉及到WordPress的一个插件（优购商城导航支付插件）存在存储型跨站脚本攻击（Stored Cross-Site Scripting）的漏洞。这个漏洞是由于插件中的某些用…

itsourcecode 裁缝管理系统 expedit.php sql注入 (CVE-2024-11631) CVE编号 CVE-2024-11631 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 找到了itsourcecode制衣管理系统1.0的一个漏洞，该漏洞被评为高危级别。这个问题影响到了/expedit.php文件的一些未知处理过程。操纵参数expcat会导致SQL注入。攻击可能远程发起。该漏洞已被公开披露，可能被利用。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修…

DataGear resolveSql SQL 注入（CVE-2023-7299） CVE编号 CVE-2023-7299 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 DataGear 4.60版本存在一个关键漏洞。该漏洞影响文件/dataSet/resolveSql中的未知代码。参数sql的处理不当导致SQL注入。攻击可以远程发起。升级到版本4.7.0可以解决此问题。建议升级受影响的组件。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://g…

code-projects 简单汽车租赁系统 book_car.php sql 注入 (CVE-2024-11632) CVE编号 CVE-2024-11632 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 在代码项目 Simple Car Rental System 1.0 中发现了一个关键漏洞。受影响的是文件 /book_car.php 的一个未知功能。操纵参数 fname/id_no/gender/email/phone/location 会导致 SQL 注入。攻击可以从远程发起…

Cloud Pak for Data 上的 IBM Watson Query 和 Cloud Pak for Data 上的 IBM Db2 Big SQL 信息泄露 (CVE-2024-35160) CVE编号 CVE-2024-35160 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IBM Watson Query在Cloud Pak for Data 1.8、2.0、2.1和2.2版本以及IBM Db2 Big SQL在Cloud Pak for Data 7.3、7.4、7.…

在流上下文中配置代理可能会允许 URI 中的 CRLF 注入（CVE-2024-11234） CVE编号 CVE-2024-11234 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-24 漏洞描述 在PHP版本8.1.*中，如果使用的是配置了代理和"request_fulluri"选项的流，那么在版本8.1.31之前、8.2.*在8.2.26之前以及8.3.*在8.3.14之前的版本中，URI没有得到适当的清理，这可能导致HTTP请求伪装，并允许攻击者使用代理执行来自服务器的任意HTTP请求，从而可能…

firebird 和 dblib 引用器中的整数溢出导致 OOB 写入 (CVE-2024-11236) CVE编号 CVE-2024-11236 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-24 漏洞描述 在PHP版本8.1.*（低于8.1.31），8.2.*（低于8.2.26）和8.3.*（低于8.3.14）中，对于32位系统上的ldap_escape()函数，未控制的超长字符串输入可能导致整数溢出，从而导致越界写入。 解决建议 "将组件 PHP 升级至 8.1.31 及以上版本" "将组件 P…

CNVD-ID CNVD-2024-44486 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome <130.0.6723.58 CVE ID CVE-2024-9965 漏洞描述 Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 130.0.6723.58之前版本存在安全漏洞，远程攻击者可利用该漏洞通过精心制作的HTML页面执行任意代码。 漏洞类型 通用型漏洞 参…

一 前　言 过去几周，整个互联网科技圈被一个来自美国的搅局者--ChatGPT 彻底霸榜，甚至全社会普通大众都在开始谈论 ChatGPT，ChatGPT 已经成为了全球月活最快破亿的消费应用。虽然 ChatGPT 国内仍然用不了，但丝毫不影响关于它的消息出现在各个平台，刷了一遍又一遍的屏。 面对新鲜事物，好奇与对未知的抵触总是相伴而来的，特别是国内互联网表现得又如此急切，在对 ChatGPT 的讨论里，态度总是身处两极：一方是片面神化，把 ChatGPT 的出现认为是宣告新时代的到来，无所不能、无处不在，充满了对未…

据阿联酋《国民报》网站11月6日报道，国际刑警组织披露，一波“空前”的网络犯罪浪潮席卷全球，每39秒就会发生一次黑客攻击，给受害者造成重大经济损失。 国际刑警组织网络犯罪局局长尼尔·杰顿在该机构大会上发表讲话称，仅在今年第二季度，网络犯罪就增加了30%，每天造成约1800万美元损失。 报道称，勒索软件攻击增加了70%，黑客会通过勒索软件使某个机构的信息技术系统瘫痪，并要求对方支付赎金才能恢复正常。在公布这一数据之际，国际刑警组织刚刚宣布打击黑客的“协同行动Ⅱ”已追踪到2.2万个恶意IP地址。 杰顿说：“我们正在目睹…

国家密码管理局公告 （49号） 依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，现发布《商用密码检测机构（商用密码应用安全性评估业务）目录》。即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。特此公告。 附件：商用密码检测机构（商用密码应用安全性评估业务）目录 国家密码管理局 2024年11月11日 商用密码检测机构（商用密码应用安全性评估业务）目录 （排名不分先后） 北京国家金…

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。 1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下： 《致题库》（版本5.4.1，小米应用商店）、《信久久》（版本1.7.1，小米应用商店）、《吉客赢》（版本5.5.3，应用宝）、《丛丛脱单相亲交友平台》（版本1.0.8，vivo…

libc-got攻击手法-1 这是一个很新的攻击手法，来自veritas501师傅，在去年的十二月提出的一种利用方式， 本文就是针对这位师傅的文章，进行一些攻击的总结 原理 这个libc使用的是ubuntu22.04自带的glibc2.35 可以看到，libc的保护措施，got表是可写的，而libc里面，确实会存在got表 而正如保护措施所展示，我们的got表是可写的，那这个libc的got表又是什么东西呢 我们以printf为例 __int64 printf(__int64 a1, ...) { gcc_va_l…

本文将对结合android so加载机制绕过libsaoaidsec进行一些探索思考 使用到工具及环境 pixel 2 android 10 frida 16.1.4 bilibili 7.76.0 apk 确定存在检测机制的库 可以看到小破站app存在frida的检测机制，frida的进程过了一会就被kill了 下面就想办法绕过这个检测机制，最直接的思路就是找到检测的函数，然后hook掉它 通常app对frida的检测函数都被写在native层，要想找到检测函数，首先找到它所处的so库。那么该如何找到它所属的库呢…

CNVD-ID CNVD-2022-73497 公开日期 2022-11-03 危害级别 低 (AV:N/AC:M/Au:S/C:N/I:P/A:N) 影响产品 Online Project Time Management System Online Project Time Management System V1.0 CVE ID CVE-2022-26295 漏洞描述 Online Project Time Management System是一个基于网络的在线项目时间管理系统，它为某个公司的员工提供了一个在…

CNVD-ID CNVD-2022-73495 公开日期 2022-11-03 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Quicklert Quicklert for Digium 10.0.0 CVE ID CVE-2021-43969 漏洞描述 Quicklert是美国Quicklert公司的一种简单易用的消息传递、警报和紧急响应解决方案。通过早期检测、智能实时警报和响应来挽救生命并提供业务连续性。 Quicklert for Digium 10.0.0版本存在SQL注…

CNVD-ID CNVD-2022-73491 公开日期 2022-11-03 危害级别 中 (AV:N/AC:M/Au:N/C:N/I:N/A:P) 影响产品 Apache Tika =2.0.0，

CNVD-ID CNVD-2022-73124 公开日期 2022-11-02 危害级别 低 (AV:N/AC:L/Au:N/C:N/I:P/A:P) 影响产品 Advantech Advantech DeviceOn iEdge Server 1.0.2 CVE ID CVE-2021-40389 漏洞描述 Advantech DeviceOn/iEdge Server是工业设备智能化软件，可使非智能设备具备IoT连接管理能力。 Advantech DeviceOn/iEdge Server权限提升漏洞，攻击者可…

CNVD-ID CNVD-2022-73174 公开日期 2022-11-02 危害级别 低 (AV:N/AC:M/Au:N/C:N/I:P/A:N) 影响产品 Hotel-Mgmt-System Hotel-Mgmt-System 1.0 CVE ID CVE-2022-27475 漏洞描述 Hotel-Mgmt-System是一个酒店管理系统。 Hotel-Mgmt-System 1.0版本存在跨站脚本漏洞，该漏洞源于/admin.php缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行J…

CNVD-ID CNVD-2022-73498 公开日期 2022-11-03 危害级别 中 (AV:N/AC:L/Au:S/C:P/I:P/A:P) 影响产品 Xbtit Xbtit 3.1 CVE ID CVE-2021-45821 漏洞描述 Xbtit是一个开源的跟踪器软件。 Xbtit 3.1版本存在SQL注入漏洞，该漏洞源于ajaxchat/getHistoryChatData.php文件中的sid参数缺少对于SQL语句的过滤转义。攻击者可利用该漏洞提取用户名和密码等敏感数据，在某些情况下，利用此漏洞在远…

CNVD-ID CNVD-2022-73494 公开日期 2022-11-03 危害级别 低 (AV:N/AC:M/Au:S/C:N/I:P/A:N) 影响产品 MarkText MarkText

CNVD-ID CNVD-2022-73265 公开日期 2022-11-03 危害级别 低 (AV:L/AC:L/Au:N/C:N/I:N/A:P) 影响产品 Apache containerd

CNVD-ID CNVD-2021-73171 公开日期 2022-11-03 危害级别 中 (AV:N/AC:H/Au:S/C:C/I:N/A:N) 影响产品 北京通达信科科技有限公司 通达OA 11.10 漏洞描述 通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。 通达OA存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方…

CNVD-ID CNVD-2022-70712 公开日期 2022-11-03 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 北京通达信科科技有限公司 通达OA 漏洞描述 通达OA是一款移动智能办公应用。 通达OA存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方案，请关注厂商主页及时更新： https://www.tongda2000.com/ 厂商补丁 通达OA存在文件上传漏洞（CNVD-2022-707…

CNVD-ID CNVD-2022-70699 公开日期 2022-11-03 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 深圳市蓝凌软件股份有限公司 蓝凌智慧协同平台 漏洞描述 深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商，是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。 深圳市蓝凌软件股份有限公司蓝凌智慧协同平台存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏…