Grand Vice 信息 Webopac - SQL 注入 (CVE-2024-11016) CVE编号 CVE-2024-11016 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac存在SQL注入漏洞,允许未经身份验证的远程攻击者注入任意SQL命令来读取、修改和删除数据库内容。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8210-463…
Grand Vice 信息 Webopac - 任意文件上传 (CVE-2024-11017) CVE编号 CVE-2024-11017 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac未能正确验证上传的文件类型,允许具有常规权限的远程攻击者上传并执行webshell,这可能导致服务器上的任意代码执行。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-1…
Grand Vice 信息 Webopac - 任意文件上传 (CVE-2024-11018) CVE编号 CVE-2024-11018 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac未能正确验证上传的文件类型,使得未经身份验证的远程攻击者能够上传并执行webshell,这可能导致在服务器上执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp…
Grand Vice 信息 Webopac7 - 反射型 XSS (CVE-2024-11019) CVE编号 CVE-2024-11019 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac存在反射型跨站脚本漏洞,允许未经身份验证的远程攻击者通过钓鱼技术执行用户浏览器中的任意JavaScript代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-13…
WordPress CRM 2go 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52350) CVE编号 CVE-2024-52350 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 CRM 2go中存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞,允许基于DOM的跨站脚本攻击。此问题影响CRM 2go的版本从不适用到1.0。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.c…
WordPress BU Slideshow 插件 <= 2.3.10 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52351) CVE编号 CVE-2024-52351 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 波士顿大学(IS&T)的BU幻灯片展示中存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞,允许存储XSS。此问题影响BU幻灯片展示的版本从不适用到2.3.10。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 http…
WordPress Postcasa Shortcode 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52352) CVE编号 CVE-2024-52352 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在网页生成过程中未正确处理输入(XSS或跨站脚本攻击漏洞)存在于Andrew Milo Postcasa的Shortcode中,允许基于DOM的跨站脚本攻击。这个问题影响了Postcasa Shortcode的版本从不适用到1.0。 解决建议 建议您…
WordPress 基督教科学圣经课程主题插件 <= 2.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52353) CVE编号 CVE-2024-52353 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Gabriel Serafini的基督教科学圣经课程主题中存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞,允许基于DOM的XSS攻击。这个问题影响基督教科学圣经课程主题版本从不适用到2.0。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。…
WordPress Web Stories Widgets For Elementor 插件 <= 1.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52354) CVE编号 CVE-2024-52354 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Cool Plugins的Elementor网页故事小工具中存在不当的中立输入问题,这可能导致跨站脚本(XSS)漏洞。这个问题影响了Elementor的Web Stories Widgets版本从不适用到1.1的所有版…
WordPress OSM – OpenStreetMap 插件 <= 6.1.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52355) CVE编号 CVE-2024-52355 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在网页生成过程中没有对输入进行适当的中和(Neutralization),导致在Hyumika OSM(OpenStreetMap)中存在跨站脚本(XSS)漏洞,允许存储式跨站脚本攻击。这个问题影响的是OSM(OpenStreetMap)版本从…
Grand Vice 信息 Webopac7 - SQL 注入 (CVE-2024-11020) CVE编号 CVE-2024-11020 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac存在SQL注入漏洞,允许未经身份验证的远程攻击者注入任意SQL命令来读取、修改和删除数据库内容。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8218-e2…
Grand Vice 信息 Webopac - 存储型 XSS (CVE-2024-11021) CVE编号 CVE-2024-11021 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac存在存储型跨站脚本漏洞(Stored Cross-site Scripting vulnerability)。具有常规权限的远程攻击者可以向服务器注入任意JavaScript代码。当用户访问被攻击的页面时,该代码会在用户的浏览器中自动执行。 解决建议 建议您…
D-Link DSL6740C——操作系统命令注入(CVE-2024-11062) CVE编号 CVE-2024-11062 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞,允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8228-1…
D-Link DSL6740C——操作系统命令注入(CVE-2024-11063) CVE编号 CVE-2024-11063 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞,允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8229-3…
D-Link DSL6740C——操作系统命令注入(CVE-2024-11064) CVE编号 CVE-2024-11064 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞,允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8230-1…
D-Link DSL6740C——操作系统命令注入(CVE-2024-11065) CVE编号 CVE-2024-11065 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞,允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8231-2…
D-Link DSL6740C——操作系统命令注入(CVE-2024-11066) CVE编号 CVE-2024-11066 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 是的,这个问题涉及到网络安全和潜在的安全风险。如果D-Link DSL6740C调制解调器存在OS命令注入漏洞,那么它可能会被恶意远程攻击者利用,这些攻击者可能会通过特定的网页注入并执行任意的系统命令,从而获取管理员权限并控制该设备。这种情况可能导致数据泄露、设备被滥用或其他形式的网络攻击。因此,这可以被视为一种违法…
D-Link DSL6740C - 通过路径遍历读取任意文件(CVE-2024-11067) CVE编号 CVE-2024-11067 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在路径遍历漏洞,允许未经身份验证的远程攻击者利用此漏洞读取任意系统文件。此外,由于设备的默认密码是MAC地址的组合,攻击者可以通过此漏洞获取MAC地址,并尝试使用默认密码登录设备。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https…
D-Link DSL6740C - 特权 API 的错误使用(CVE-2024-11068) CVE编号 CVE-2024-11068 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在一个特权API使用不当的漏洞,允许未经身份验证的远程攻击者利用API修改任何用户的密码,从而使用该用户帐户访问Web、SSH和Telnet服务。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org…
Moodle:管理员预设导出工具包含一些不应导出的机密(CVE-2024-43427) CVE编号 CVE-2024-43427 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。在创建站点管理预设的导出时,一些敏感的秘密和密钥没有被排除在导出之外,如果将这些预设与第三方共享,可能会导致它们无意中泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cg…
Moodle:成绩册报告中的用户信息可见性控制问题(CVE-2024-43429) CVE编号 CVE-2024-43429 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。某些隐藏的用户个人资料字段在成绩册报告中可见,这可能导致没有“查看隐藏用户字段”权限的用户能够访问这些信息。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=23042…
Moodle:使用外部方法进行测验覆盖时缺乏访问控制(CVE-2024-43430) CVE编号 CVE-2024-43430 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。外部 API 对测验的访问可以覆盖其中的访问控制不足的问题。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2304258 https://moodle.org/…
Moodle:“模拟重定向”之间保留的授权标头(CVE-2024-43432) CVE编号 CVE-2024-43432 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。 Moodle 中的 cURL 包装器在模拟重定向时会删除 HTTPAUTH 和 USERPWD 头部,但会保留其他原始请求头部,因此 HTTP 授权头部信息可能会无意中发送到重定向 URL 的请求中。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 http…
Moodle:矩阵用户/权力级别管理在暂停用户的情况下并不总是按预期工作(CVE-2024-43433) CVE编号 CVE-2024-43433 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。矩阵房间的会员资格和权限级别对于已暂停的 Moodle 用户不正确地进行应用和撤销。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=230426…
Moodle:无需管理员身份即可创建全局词汇表(CVE-2024-43435) CVE编号 CVE-2024-43435 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。由于能力检查不足,拥有课程恢复词汇表权限的用户可能将其恢复为全局站点词汇表。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2304263 https://moodle…