Moodle:恢复恶意课程备份文件时存在 xss 风险(CVE-2024-43437) CVE编号 CVE-2024-43437 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。在恢复数据时,没有对数据进行足够的清理,可能导致恶意备份文件引发跨站脚本(XSS)风险。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2304266 http…
通过自动生成功能进行未经身份验证的拒绝服务 (CVE-2024-10314) CVE编号 CVE-2024-10314 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中,通过自动生成功能发现了未经身份验证的远程拒绝服务(DoS)漏洞。报告人为Karol Więsek。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://portal.perforce.com/s/detail/a91PA000001SZ…
通过拒绝功能进行未经身份验证的拒绝服务 (CVE-2024-10344) CVE编号 CVE-2024-10344 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中,存在一个未经身份验证的远程拒绝服务(DoS)漏洞,该漏洞可通过拒绝功能进行识别。该漏洞由Karol Więsek报告。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://portal.perforce.com/s/detail/a91PA…
通过关闭功能进行未经身份验证的拒绝服务 (CVE-2024-10345) CVE编号 CVE-2024-10345 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中,存在一个未经身份验证的远程拒绝服务(DoS)漏洞,该漏洞可通过shutdown功能进行攻击。该漏洞由Karol Więsek报告。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://portal.perforce.com/s/detail…
N/A CVE编号 CVE-2024-34014 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 由于不正确的符号链接处理,在恢复过程中会发生任意文件覆盖。以下产品受到影响:cPanel和WHM(Linux)的Acronis备份插件(版本低于818),Plesk(Linux)的Acronis备份扩展(版本低于599),DirectAdmin(Linux)的Acronis备份插件(版本低于181)。 解决建议 "将组件 Acronis Backup extension for Plesk …
N/A CVE编号 CVE-2024-34015 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在文件浏览过程中由于不当处理符号链接而导致敏感信息泄露。以下产品受到影响:构建版本低于 818 的 Acronis Backup 插件用于 cPanel & WHM(Linux)。 解决建议 "将组件 Acronis Backup plugin for cPanel & WHM 升级至 818 及以上版本" 参考链接 https://security-advisory.ac…
fork:仅在没有错误的情况下调用 khugepaged、ksm 钩子(CVE-2024-50263) CVE编号 CVE-2024-50263 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Linux内核中,已经解决了一个漏洞,关于fork函数的调用问题:只在没有错误的情况下调用khugepaged和ksm钩子。对于处于不完整状态的mm,没有理由过早调用这些钩子。在提交d24062914837(“fork:使用__mt_dup()复制maple树”)的更改中,这一点变得更加重要,因…
Sanluan PublicCMS 标签类型保存跨站点脚本 (CVE-2024-11070) CVE编号 CVE-2024-11070 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Sanluan PublicCMS 5.202406.d中发现了一个被分类为问题性的漏洞。这个问题影响了组件Tag Type Handler中未知的文件处理过程/admin/cmsTagType/save。操纵参数名称会导致跨站脚本攻击。攻击可能远程发起。漏洞已被公开披露,可能会被利用。 解决建议 建议您…
台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-39354) CVE编号 CVE-2024-39354 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件来启动Delta Electronics DIAScreen应用程序,那么可以利用CEtherIPTagItem中的栈缓冲区溢出漏洞,允许攻击者远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.…
台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-39605) CVE编号 CVE-2024-39605 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件,Delta Electronics DIAScreen中的BACnetParameter可能会发生基于堆栈的缓冲区溢出漏洞,使得攻击者能够远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.go…
台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-47131) CVE编号 CVE-2024-47131 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件中的Delta Electronics DIAScreen应用程序,可以利用BACnetObjectInfo中的堆栈缓冲区溢出漏洞,从而允许攻击者远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa…
N/A CVE编号 CVE-2024-50989 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 PHPGurukul在线婚姻登记系统v1.0中的/omrs/admin/search.php存在SQL注入漏洞。攻击者可以通过“searchdata”参数执行任意SQL命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/vkcyberexpert/CVE-Writeup/blob/main/PHPGurukul/Marria…
N/A CVE编号 CVE-2024-50990 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 A Reflected Cross Site Scriptng (XSS) vulnerability was found in /omrs/user/search.php in PHPGurukul Online Marriage Registration System v1.0, which allows remote attackers to execute arbitrary cod…
N/A CVE编号 CVE-2024-50991 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 A Cross Site Scripting (XSS) vulnerability was found in /ums-sp/admin/registered-users.php in PHPGurukul User Management System v1.0, which allows remote attackers to execute arbitrary code via the…
N/A CVE编号 CVE-2024-51054 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在PHPGurukul在线婚姻登记系统1.0的/omrs/admin/search.php文件中发现了一个跨站脚本漏洞(Cross Site Scripting,简称XSS)。该漏洞允许远程攻击者通过“searchdata”POST请求参数执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/vkcyberexpert…
One2Track 安全漏洞(CVE-2019-20472) CVE编号 CVE-2019-20472 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 One2Track是One2Track公司的一款儿童 GPS 电话手表。 One2Track存在安全漏洞,该漏洞源于缺少PIN配置。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://seclists.org/fulldisclosure/2024/Jul/14 https://www.one2t…
GitHub Enterprise Server 中的预接收挂钩路径冲突漏洞允许权限提升 (CVE-2024-10007) CVE编号 CVE-2024-10007 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 GitHub企业服务器存在一个路径碰撞和任意代码执行漏洞,攻击者可利用该漏洞通过ghe-firejail路径实现容器逃逸并升级到root权限。利用此漏洞需要获得GitHub企业服务器的企业管理员访问权限。此漏洞影响所有低于3.15版本的GitHub企业版,并在版本3.14.3、…
Nomad 易受滥用 CSI 写入权限的跨命名空间卷创建攻击 (CVE-2024-10975) CVE编号 CVE-2024-10975 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Nomad 社区版和 Nomad 企业版(统称为“Nomad”)的卷规格存在漏洞,该漏洞允许通过未经授权的容器存储接口(CSI)卷写入进行任意跨命名空间卷创建。该漏洞被标识为 CVE-2024-10975,已在 Nomad 社区版 1.9.2 和 Nomad 企业版 1.9.2、1.8.7 和 1.7.1…
CVE编号 CVE-2024-50599 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Zimbra Collaboration Suite(ZCS)是Zimbra公司的一款开源协同办公套件。该产品包括WebMail、日历、通信录等。 Zimbra Collaboration Suite 8.8.15版本存在安全漏洞,该漏洞源于对用户提供的输入处理不当,允许攻击者注入恶意代码,并在HTML响应中反射回来,容易受到反射型跨站脚本攻击。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
GitHub企业服务器发现授权绕过漏洞,允许未经授权的内部用户访问秘密扫描警报数据(CVE-2024-10824) CVE编号 CVE-2024-10824 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 GitHub企业服务器存在一个授权绕过漏洞,该漏洞允许未经授权的内部用户访问仅针对业务所有者设计的敏感秘密扫描警报数据。只有拥有个人访问令牌(PAT)的组织成员才能利用此问题,并且需要在用户拥有的存储库中启用秘密扫描。此漏洞影响了版本为3.13.0之后但在3.14.0之前的GitHub…
AI Call Assistant & Screener 安全漏洞(CVE-2024-36062) CVE编号 CVE-2024-36062 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 AI Call Assistant & Screener是Call Assistant公司的一个呼叫筛选器和拦截器。 AI Call Assistant & Screener 1.174版本存在安全漏洞,该漏洞源于攻击者可通过com.callassistant.android.…
Goodwy Right Dialer 安全漏洞(CVE-2024-36063) CVE编号 CVE-2024-36063 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Goodwy Right Dialer是Goodwy公司的一个拨号软件。 Goodwy Right Dialer 5.1.0及之前版本存在安全漏洞,该漏洞源于攻击者可通过向com.Goodwy.dialer.active.DialerActivity组件发送精心设计的意图,从而无需用户交互即可拨打电话。 解决建议 建议…
NLL APPS ACR Phone 安全漏洞(CVE-2024-36064) CVE编号 CVE-2024-36064 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 NLL APPS ACR Phone是NLL APPS公司的一款通话记录器。 NLL APPS ACR Phone 0.330及之前版本存在安全漏洞,该漏洞源于攻击者可通过向com.nll.cb.dialer.dialer.DialerActivity组件发送精心设计的意图,从而无需用户交互即可拨打电话。 解决建议 建议…
ASD Dev Video Player HD Video Downloader 安全漏洞(CVE-2024-46960) CVE编号 CVE-2024-46960 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 ASD Dev Video Player HD Video Downloader是ASD Dev Video Player公司的一个视频下载器。 ASD Dev Video Player HD Video Downloader 7.0.129及之前版本存在安全漏洞,该漏洞源于允…
Inshot Video Downloader 安全漏洞(CVE-2024-46961) CVE编号 CVE-2024-46961 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 InShot Inshot Video Downloader是InShot公司的一个视频下载应用。 Inshot Video Downloader 1.3.5及之前版本存在安全漏洞,该漏洞源于存在任意JavaScript代码执行漏洞。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 h…