WordPress 世界祈祷时间插件 <= 2.0 - CSRF 到反射跨站点脚本 (XSS) 漏洞 (CVE-2024-50534) CVE编号 CVE-2024-50534 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Syed Umair Hussain Shah世界祈祷时间应用中存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本(XSS)。这个问题影响版本从未知至2.0。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patc…
WordPress 域分片插件 <= 1.2.1 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-50533) CVE编号 CVE-2024-50533 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 David Garcia Domain Sharding中存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(Stored XSS)。这个问题影响Domain Sharding版本从不适用到1.2.1。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress Events Manager Pro - 扩展插件 <= 0.1 - CSRF 到反射跨站点脚本 (XSS) 漏洞 (CVE-2024-50532) CVE编号 CVE-2024-50532 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在网页生成过程中未适当处理输入('跨站脚本'漏洞)存在于Jerin K Alexander活动管理器专业版扩展中,允许反射型跨站脚本攻击(Reflected XSS)。这个问题影响到活动管理器专业版扩展的所有版本,从不适用(n…
WordPress WeChat Subscribers Lite 插件 <= 1.6.6 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-50522) CVE编号 CVE-2024-50522 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在Redy Ru微信订阅Lite中存在网页生成过程中输入不当的中和(跨站脚本漏洞)。这个问题影响了微信订阅Lite的版本从不适用到1.6.6,允许反射式跨站脚本攻击(Reflected XSS)。 解决建议 建议您更新当前系统或软件…
WordPress Alley Elementor Widget 插件 <= 1.0.7 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50521) CVE编号 CVE-2024-50521 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在网页生成过程中未正确处理输入(存在跨站脚本(Cross-site Scripting)漏洞),这影响了alleythemes的Alley Elementor Widget插件,可能导致基于DOM的跨站脚本攻击(DOM-Based XSS…
WordPress Ancient World Linked Data 插件 <= 0.2.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50520) CVE编号 CVE-2024-50520 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在Peter J. Herrel的古代世界链接数据中存在网页生成过程中输入未适当中和的问题(跨站脚本漏洞),允许基于DOM的跨站脚本攻击。这个问题影响古代世界链接数据的版本从不适用到0.2.1。 解决建议 建议您更新当前系统或软件至…
WordPress Jigoshop - Store Exporter 插件 <= 1.5.8 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-50519) CVE编号 CVE-2024-50519 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Visser Labs的Jigoshop商店导出器中存在网页生成过程中输入未适当中和的问题(即跨站脚本漏洞),这可能导致反射型跨站脚本攻击(Reflected XSS)。此问题影响Jigoshop商店导出器版本从不适用到1.5.…
WordPress Pricer Ninja 插件 <= 2.1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50518) CVE编号 CVE-2024-50518 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在Common Ninja Pricer Ninja中,网页生成过程中输入未适当中和(Neutralization)的问题导致了跨站脚本(Cross-site Scripting)漏洞。该漏洞允许存储式跨站脚本攻击(Stored XSS)。此问题影响Pric…
WordPress ID-SK Toolkit 插件 <= 1.7.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50517) CVE编号 CVE-2024-50517 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 斯洛伐克IT公司(SlovenskoIT a.s.)的ID-SK Toolkit存在网页生成过程中输入未适当中和(Cross-site Scripting)漏洞,允许存储式跨站脚本攻击(Stored XSS)。此问题影响ID-SK Toolkit版本从未知…
WordPress 倒计时和时钟插件 <= 2.8.0.9 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50516) CVE编号 CVE-2024-50516 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 亚当斯嘉倒计时与时钟应用程序存在网页生成过程中输入未适当中和的问题(即跨站脚本漏洞),允许存储式跨站脚本攻击(Stored XSS)。此问题影响倒计时与时钟版本从不适用到2.8.0.9。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 htt…
WordPress Ninja Forms – 与您一起成长的联系表单生成器插件 <= 3.8.16 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50515) CVE编号 CVE-2024-50515 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在周六驱动Ninja表单的网页生成过程中存在输入未适当中和的问题('跨站脚本'漏洞),允许存储式跨站脚本攻击(Stored XSS)。这个问题影响Ninja表单的版本从不适用到3.8.16。 解决建议 建议您更新当前系统或软件…
WordPress Ninja Forms – 与您一起成长的联系表单生成器插件 <= 3.8.16 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50514) CVE编号 CVE-2024-50514 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在周六驱动Ninja表单的网页生成过程中存在输入未适当中和的问题('跨站脚本'漏洞),允许存储式跨站脚本攻击(Stored XSS)。这个问题影响Ninja表单的版本从不适用到3.8.16。 解决建议 建议您更新当前系统或软件…
CVE
CVE-2024-50513丨WordPress Post Grid Gutenberg Blocks 和 WordPress Blog 插件 – PostX 插件 <= 4.1.15 - 跨站点脚本 (XSS) 漏洞
WordPress Post Grid Gutenberg Blocks 和 WordPress Blog 插件 – PostX 插件 <= 4.1.15 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-50513) CVE编号 CVE-2024-50513 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 在 WPXPO PostX 中的 Post Grid Team 存在输入未适当中和的问题,导致网页生成中的跨站脚本漏洞(Cross-site Scripting)。这个问题…
WordPress Bold Page Builder 插件 <= 5.1.3 - 访问控制漏洞 (CVE-2024-50417) CVE编号 CVE-2024-50417 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 BoldThemes的Bold Page Builder存在一个授权漏洞,允许攻击者利用配置不当的访问控制安全级别进行攻击。这个问题影响Bold Page Builder的版本从不适用到5.1.3。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参…
WordPress Sunshine Photo Cart 插件 <= 3.2.9 - 访问控制漏洞 (CVE-2024-49697) CVE编号 CVE-2024-49697 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 WP Sunshine Photo Cart存在授权漏洞,允许利用配置不当的访问控制安全级别进行攻击。此问题影响Sunshine Photo Cart的版本从n/a至3.2.9。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 htt…
WordPress HD Quiz – Save Results Light 插件 <= 0.5 - 访问控制漏洞 (CVE-2024-49689) CVE编号 CVE-2024-49689 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Harmonic Design HD Quiz的授权漏洞允许攻击者利用配置不当的访问控制安全级别来利用漏洞。这个问题影响HD Quiz Save Results Light版本从不适用到版本0.5。 解决建议 建议您更新当前系统或软件至最新版,完…
WordPress wpvr 插件 <= 8.5.5 - 访问控制漏洞 (CVE-2024-49680) CVE编号 CVE-2024-49680 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Rextheme WP VR存在一个授权漏洞,允许攻击者利用配置不当的访问控制安全级别进行攻击。这个问题影响的是WP VR版本从不适用到8.5.5。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/v…
WordPress Crowdsignal Polls & Ratings 插件 <= 3.1.2 - 跨站点请求伪造 (CSRF) 漏洞 (CVE-2024-43338) CVE编号 CVE-2024-43338 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Automattic,Inc的Crowdsignal Dashboard - 调查、民意测验及其他功能中存在跨站请求伪造(CSRF)漏洞,允许跨站请求伪造。此问题影响Crowdsignal Dashboard - …
cachi2 允许回溯打印本地信息(CVE-2024-52582) CVE编号 CVE-2024-52582 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-20 漏洞描述 Cachi2是一个命令行界面工具,用于预先获取项目的依赖项,以辅助项目构建过程实现网络隔离。在版本0.14.0之前,当触发未处理的异常时,日志中可能会显示秘密信息,因为该工具正在记录每个函数的本地变量。如果在CI/构建管道中使用此工具作为其主要用例,这可能会泄露秘密信息。版本0.14.0针对此问题进行了修复。目前尚无已知的解决方案可…
GNU Wget 在访问部分用户控制的简写 URL 时容易受到 SSRF 攻击(CVE-2024-10524) CVE编号 CVE-2024-10524 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 使用 Wget 通过简写 URL 访问远程资源并在 URL 中传递任意用户凭据的应用程序存在漏洞。在这种情况下,攻击者可以输入伪造的凭据,导致 Wget 访问任意主机。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://git.savannah.gn…
SICK Incoming Goods Suite 权限提升漏洞 (CVE-2024-11075) CVE编号 CVE-2024-11075 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 进货套件(Incoming Goods Suite)中存在一个漏洞,允许具有非特权访问底层系统的用户(例如本地或通过SSH)通过运行具有root权限的组件供应商Docker镜像进行特权升级,从而获得管理员权限。利用这种配置不当的情况会导致攻击者能够控制整个系统并获得管理员权限。 解决建议 建议您更新当…
从 SOLIDWORKS 2024 版到 SOLIDWORKS 2025 版的 eDrawings 中存在基于堆的缓冲区溢出和未初始化变量漏洞 (CVE-2024-10204) CVE编号 CVE-2024-10204 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在SOLIDWORKS 2024至SOLIDWORKS 2025版本的eDrawings中,X_B和SAT文件读取过程中存在基于堆的缓冲区溢出和未初始化变量漏洞。这些漏洞可能允许攻击者在打开特别制作的X_B或SAT文件时执行…
Bard <= 2.216 — 通过 add_query_arg 参数反射跨站点脚本 (CVE-2024-9830) CVE编号 CVE-2024-9830 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 WordPress中的Bard主题在直至并包括2.216版本中都存在反射型跨站脚本(Reflected Cross-Site Scripting)漏洞。该漏洞是由于在URL中使用add_query_arg函数时没有进行适当的转义处理导致的。这使得未经验证的攻击者能够在页面中注入任…
Ashe <= 2.243 — 通过 add_query_arg 参数反射跨站点脚本 (CVE-2024-9777) CVE编号 CVE-2024-9777 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Ashe主题的WordPress存在反射型跨站脚本漏洞,该漏洞存在于所有版本至包括2.243的URL中使用了未进行适当转义的add_query_arg函数。这使得未经身份验证的攻击者能够在页面注入任意web脚本成为可能,如果攻击者成功诱使用户执行某些操作(例如点击链接),这些脚本…
Parallax Image <= 1.9 - 通过位置参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-11224) CVE编号 CVE-2024-11224 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 WordPress的Parallax Image插件存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),该漏洞存在于所有版本直至并包括1.9版本。漏洞产生的原因是输入未适当净化以及输出未适当转义处理,导致通过“…