CNVD-ID CNVD-2024-45233 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android 14 CVE ID CVE-2024-34720 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由于com_Android_internal_os_ZygoteCommandBuffer_nativeForkR…
CNVD-ID CNVD-2024-45232 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android 14 CVE ID CVE-2024-34723 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由于ParcelableListBinder.java的onDransact中的代码存在逻辑错误,攻击者可利用此漏…
CNVD-ID CNVD-2024-45231 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android 14 CVE ID CVE-2024-31327 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由MessageQueueBase.h的多个函数中的越界写入引起的。攻击者可利用此漏洞升级权限。 漏洞类型 通用型…
CNVD-ID CNVD-2024-45230 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android CVE ID CVE-2024-23698 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由于rgxfwutils.c的RGXFWChangeOSidPriority中缺少边界检查,攻击者可利用此漏洞升级权限。…
CNVD-ID CNVD-2024-45229 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android 14 CVE ID CVE-2024-31313 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由于MessageQueueBase.h的可用ToWriteBytes的越界写入,攻击者可利用此漏洞来升级权限。 …
CNVD-ID CNVD-2024-45226 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:S/C:C/I:N/A:N) 影响产品 Google Android <12 Google Android <12L Google Android <13 Google Android <14 CVE ID CVE-2024-40654 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Androi…
CNVD-ID CNVD-2024-45227 公开日期 2024-11-19 危害级别 中 (AV:L/AC:H/Au:N/C:C/I:C/A:C) 影响产品 Google Android CVE ID CVE-2024-23716 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由于设备mem_server.c的DevmemIntPFNotify中的竞争条件引起的。攻击者可利用此漏洞来升级权限。 …
CNVD-ID CNVD-2024-45228 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:S/C:C/I:C/A:C) 影响产品 Google Android <12 Google Android <12L Google Android <13 Google Android <14 CVE ID CVE-2024-40650 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Androi…
CNVD-ID CNVD-2024-45222 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android 14 CVE ID CVE-2024-31311 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Android存在权限提升漏洞,该漏洞是由stats_event.c的越界写入increment_annotation_count引起的。攻击者可利用该漏…
CNVD-ID CNVD-2024-45225 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:S/C:C/I:C/A:C) 影响产品 Google Android <12 Google Android <12L Google Android <13 Google Android <14 CVE ID CVE-2024-40652 漏洞描述 Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Google Androi…
Firebase JavaScript SDK 中的会话劫持(CVE-2024-11023) CVE编号 CVE-2024-11023 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Firebase JavaScript SDK 使用名为 "FIREBASE_DEFAULTS" 的 cookie 来存储配置数据,其中包括用于会话同步的 "_authTokenSyncURL" 字段。如果该 cookie 字段通过任何其他方法被攻击者预先设置,攻击者可以操纵 "_authTokenSync…
开源项目“django-cms”中的存储型 XSS(CVE-2024-11319) CVE编号 CVE-2024-11319 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在网页生成过程中没有对输入进行适当的中和(Neutralization),导致 Django CMS 关联框架 django-cms 存在跨站脚本(Cross-Site Scripting,简称 XSS)漏洞。这个问题影响了 django-cms 的版本 3.11.7、3.11.8、4.1.2 和 4.1.3。 解决…
Moodle:消息错误消息中返回用户姓名(CVE-2024-48896) CVE编号 CVE-2024-48896 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在 Moodle 中发现了一个漏洞。具有“发送消息”功能的用户可以通过消息传递中的错误消息查看他们可能无法访问的其他用户的名字。请注意:返回的名字遵循网站上配置的全名格式。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi…
Moodle:编辑/删除 RSS 源中的 idor(CVE-2024-48897) CVE编号 CVE-2024-48897 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在 Moodle 中发现了一个漏洞。需要额外的检查以确保用户只能编辑或删除他们有权限修改的 RSS 馈送内容。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2318821
Moodle:一些用户可以删除其他报告的受众(CVE-2024-48898) CVE编号 CVE-2024-48898 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 A vulnerability was found in Moodle. Users with access to delete audiences from reports could delete audiences from other reports that they do not have permission…
Moodle:获取报告计划时出现 idor(CVE-2024-48901) CVE编号 CVE-2024-48901 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在 Moodle 中发现了一个漏洞。需要额外的检查以确保只有获得编辑报告权限的用户才能访问报告的时间表。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2318817
Apache Tomcat:使用 Jakarta 身份验证 API 时绕过身份验证(CVE-2024-52316) CVE编号 CVE-2024-52316 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Apache Tomcat存在一个未检查的错误条件漏洞。如果Tomcat配置为使用自定义的Jakarta认证(以前称为JASPIC)ServerAuthContext组件,并且该组件在认证过程中可能会抛出一个异常而没有明确设置HTTP状态来指示失败,那么认证可能不会失败,从而允许用户绕…
Apache Tomcat:与 HTTP/2 的请求/响应混淆(CVE-2024-52317) CVE编号 CVE-2024-52317 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Apache Tomcat中存在不正确的对象回收和重用漏洞。HTTP/2请求使用的请求和响应的不正确回收可能导致用户之间的请求和/或响应混淆。此问题影响Apache Tomcat的版本为:从11.0.0-M23至11.0.0-M26,从10.1.27至10.1.30,从9.0.92至9.0.95。建议用户…
Egebilgi Software 网站模板中的 SQLi (CVE-2024-3370) CVE编号 CVE-2024-3370 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Egebilgi软件网站模板中存在特殊元素未适当中和的问题,导致SQL注入漏洞。这个问题影响网站模板的版本至2024年4月29日之前。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.usom.gov.tr/bildirim/tr-24-1860
Apache Tomcat:错误的 JSP 标签回收导致 XSS(CVE-2024-52318) CVE编号 CVE-2024-52318 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Apache Tomcat中存在不正确的对象回收和重用漏洞。此问题影响版本:11.0.0、10.1.31和9.0.96。建议用户升级到版本11.0.1、10.1.32或9.0.97以修复该问题。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://access.re…
路径遍历(CVE-2024-11303) CVE编号 CVE-2024-11303 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Korenix JetPort 5601存在一个访问受限目录的路径名漏洞(路径遍历)。该漏洞允许攻击者进行路径遍历操作,影响版本从JetPort 5601至版本1.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://cyberdanube.com/en/en-st-polten-uas-path-traversal…
AbsysNet 中的 IDOR 漏洞(CVE-2024-11318) CVE编号 CVE-2024-11318 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 AbsysNet 2.3.1版本中发现了一个IDOR(不安全的直接对象引用)漏洞。远程攻击者可能通过暴力攻击位于"/cgi-bin/ocap/"端点的会话标识符,获取未经身份验证的用户的会话信息。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.incibe.es/en/inci…
TR7 应用安全平台 (ASP) 中的容器逃逸漏洞 (CVE-2024-8781) CVE编号 CVE-2024-8781 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在TR7应用安全平台(ASP)中,存在执行不必要权限和替代路径保护不当的漏洞,这可能导致权限提升和滥用权限的问题。这个问题影响了应用安全平台(ASP)的版本为v1.4.25.188。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.usom.gov.tr/bildiri…
Kubeflow 管道视图中的存储型 XSS(CVE-2024-9526) CVE编号 CVE-2024-9526 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 存在一个存在于Kubeflow Pipeline View Web UI中的存储型跨站脚本(XSS)漏洞。Kubeflow Web UI允许创建新的流水线。在创建新的流水线时,可以添加描述。描述字段允许HTML标签,但并未得到适当的过滤,这可能导致存储型XSS攻击。我们建议您升级到提交930c35f1c543998e60e8d…
多个存储的跨站点脚本(CVE-2024-11304) CVE编号 CVE-2024-11304 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 SEH Computertechnik的utnserver Pro、utnserver ProMAX和INU-100的web界面缺少输入验证,这可能导致存储的跨站脚本(XSS)攻击。这个问题影响utnserver Pro、utnserver ProMAX和INU-100的20.1.22及以下版本。 解决建议 建议您更新当前系统或软件至最新版,完成…