Adobe Experience Manager | 跨站点脚本（存储型 XSS）（CWE-79）（CVE-2024-49523） CVE编号 CVE-2024-49523 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Adobe Experience Manager版本6.5.20及更早版本存在存储型跨站脚本（XSS）漏洞，攻击者可利用该漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含易受攻击字段的页面时，恶意JavaScript可能会在受害者的浏览器中执行。 解决建议 建议您…

Adobe Experience Manager | 跨站点脚本（基于 DOM 的 XSS）（CWE-79）（CVE-2024-49524） CVE编号 CVE-2024-49524 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Adobe Experience Manager版本6.5.20及更早版本存在一个基于DOM的跨站脚本（XSS）漏洞，攻击者可利用该漏洞在受害者的浏览器会话上下文中执行任意代码。通过通过精心制作的URL或用户输入操纵DOM元素，攻击者可以注入恶意脚本，在页面呈…

SourceCodester Survey Application System 安全漏洞(CVE-2024-50766) CVE编号 CVE-2024-50766 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 SourceCodester Survey Application System是SourceCodester开源的一个调查应用系统。 SourceCodester Survey Application System 1.0版本存在安全漏洞，该漏洞源于takeSurvey.ph…

Froala Editor 安全漏洞(CVE-2024-51434) CVE编号 CVE-2024-51434 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Froala Editor是Froala公司的一个功能强大的 JavaScript 富文本编辑器。 Froala Editor 4.3.0及之前版本存在安全漏洞，该漏洞源于存在不一致的明文标记解析，导致容易受到跨站脚本漏洞攻击。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://georgy…

GitHub Enterprise Server 中发现了权限管理漏洞，该漏洞允许 GitHub Apps 授予自己写访问权限 (CVE-2024-8810) CVE编号 CVE-2024-8810 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在组织中安装的GitHub应用程序可以在未经组织管理员批准的情况下将一些权限从读取升级到写入访问。攻击者需要拥有管理员访问权限的帐户来安装恶意的GitHub应用程序。此漏洞影响了所有早于3.14版本的GitHub企业服务器，并在版本3.14.1…

XStream BinaryStreamDriver 栈溢出致拒绝服务漏洞(CVE-2024-47072) CVE编号 CVE-2024-47072 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 XStream是一个用来将对象序列化成XML （JSON）或反序列化为对象的Java类库。 受影响版本中，如配置使用 BinaryStreamDriver 优化序列化对象的二进制数据流，在反序列化过程中，采用简单递归方式来读取数据流中的映射标记。攻击者可通过输入恶意二进制流触发无限递归，导致栈…

HTTP 客户端在 Duende.AccessTokenManagement.OpenIdConnect 中刷新后使用了错误的令牌 (CVE-2024-51987) CVE编号 CVE-2024-51987 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Duende.AccessTokenManagement.OpenIdConnect是一组用于管理OAuth和OpenId Connect访问令牌的.NET库。通过`AddUserAccessTokenHttpClient`创建的HTT…

在 changedetection.io 中使用文件 URI 方案进行路径遍历而不提供主机名 (CVE-2024-51998) CVE编号 CVE-2024-51998 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 changedetection.io 是一个免费的开源网页变更检测工具。文件URI方案的验证存在缺陷，导致攻击者能够读取系统上的任何文件。此问题仅影响已启用webdriver且`ALLOW_FILE_URI`为false或未定义的实例。用于URL协议的检查`is_safe_…

PSANHost 中的 WatchGuard Endpoint Protection 权限提升允许以 SYSTEM 身份删除任意文件 (CVE-2024-8424) CVE编号 CVE-2024-8424 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 WatchGuard EPDR、Panda AD360 和 Panda Dome 在 Windows 上的 PSANHost.exe 模块存在权限管理不当漏洞，允许以 SYSTEM 权限任意删除文件。此问题影响 EPDR 版本低于 8.0…

N/A CVE编号 CVE-2024-45759 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Dell PowerProtect Data Domain，版本低于8.1.0.0、7.13.1.10、7.10.1.40和7.7.5.50存在权限升级漏洞。本地低权限攻击者可能会利用此漏洞，导致未经授权执行某些命令以覆盖应用程序的系统配置。利用此漏洞可能导致系统拒绝服务。 解决建议 "将组件 PowerProtect DD 升级至 7.13.1.10 及以上版本" "将组件 PowerPr…

N/A CVE编号 CVE-2024-48010 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 戴尔PowerProtect DD，版本低于8.1.0.0、7.13.1.10、7.10.1.40和7.7.5.50存在访问控制漏洞。远程高权限攻击者可能会利用此漏洞，导致应用程序权限升级。 解决建议 "将组件 PowerProtect DD 升级至 7.10.1.40 及以上版本" "将组件 PowerProtect DD 升级至 7.13.1.10 及以上版本" "将组件 PowerPr…

N/A CVE编号 CVE-2024-48011 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Dell PowerProtect DD在版本低于7.7.5.50的情况下存在一个敏感信息暴露给未经授权角色的漏洞。具有远程访问权限的低权限攻击者可能会利用此漏洞，导致信息泄露。 解决建议 "将组件 PowerProtect DD 升级至 7.7.5.50 及以上版本" 参考链接  https://www.dell.com/support/kbdoc/en-us/000245360/dsa-…

code-projects 电子医疗保健系统 user_appointment.php sql 注入 (CVE-2024-10987) CVE编号 CVE-2024-10987 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在代码项目E-Health Care System 1.0中发现了一个关键漏洞。受影响的是文件/Doctor/user_appointment.php中的一个未知功能。通过操纵参数schedule_id/schedule_date/schedule_day/star…

code-projects 电子医疗保健系统 doctor_login.php sql 注入 (CVE-2024-10988) CVE编号 CVE-2024-10988 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在代码项目电子健康护理系统 1.0 中发现了一个严重漏洞。该问题影响了文件 /Doctor/doctor_login.php 的某些未知功能。操纵参数 email 会导致 SQL 注入。攻击可能来自远程。该漏洞已被公开披露并可被利用。其他参数也可能受到影响。 解决建议 建议…

code-projects 电子医疗保健系统 detail.php sql 注入 (CVE-2024-10989) CVE编号 CVE-2024-10989 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在 code-projects 的 E-Health Care System 1.0 中发现了一个被分类为关键的漏洞。该漏洞影响未知部分的文件 /Admin/detail.php。操纵参数 s_id 会导致 SQL 注入。攻击者可以远程发起攻击。该漏洞已被公开披露，可能被利用。初始的研…

Circontrol Raption Server 缓冲区错误漏洞(CVE-2020-8007) CVE编号 CVE-2020-8007 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Circontrol Raption Server是Circontrol公司的一款充电站管理软件。它是专为电动汽车充电基础设施而设计的，旨在帮助充电站管理人员监控、控制和管理充电设备，并提供用户和设备的数据分析和报告。 Circontrol Raption Server存在缓冲区错误漏洞，该漏洞源于存在命…

Trimble TM4Web 权限许可和访问控制问题漏洞(CVE-2023-27195) CVE编号 CVE-2023-27195 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Trimble TM4Web是Trimble公司的一个虚拟仿真平台，旨在帮助用户创建和部署基于 Web 的虚拟现实（VR）和增强现实（AR）应用程序。 Trimble TM4Web 22.2.0版本存在权限许可和访问控制问题漏洞，该漏洞源于访问控制不当。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修…

SourceCodester 在线兽医预约系统 view_service.php sql 注入 (CVE-2024-10990) CVE编号 CVE-2024-10990 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 SourceCodester在线兽医预约系统1.0存在一个被分类为关键的漏洞。该漏洞影响位于/admin/services/view_service.php的未知代码段。操纵参数id会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当…

SourceCodester Online Veterinary Appointment System view_service.php sql injection (CVE-2024-10990) CVE编号 CVE-2024-10990 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 SourceCodester在线兽医预约系统1.0存在一个被分类为关键的漏洞。该漏洞影响位于/admin/services/view_service.php的未知代码段。操纵参数id会导致SQL注入。攻…

Codezips Hospital Appointment System editBranchResult.php sql injection (CVE-2024-10991) CVE编号 CVE-2024-10991 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Codezips医院预约系统1.0中发现了一个被分类为关键的漏洞。该问题影响了未知的文件处理过程/editBranchResult.php。操纵参数ID会导致SQL注入。攻击可能远程发起。该漏洞已被公开披露，可能会被利用。 …

CVE编号 CVE-2024-21538 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在版本低于7.0.5的包cross-spawn中，由于输入清理不当，存在正则表达式的拒绝服务（ReDoS）漏洞。攻击者可以通过精心构造非常大的字符串来增加CPU使用率并导致程序崩溃。 解决建议 "将组件 cross-spawn 升级至 7.0.5 及以上版本" 参考链接  https://github.com/moxystudio/node-cross-spawn/commit/5ff3a07d9a…

CNVD-ID CNVD-2024-42124 公开日期 2024-11-07 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 北京亚控科技发展有限公司 Swagger KingDBConnector 漏洞描述 北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业。 北京亚控科技发展有限公司Swagger KingDBConnector存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补…

CNVD-ID CNVD-2024-43267 公开日期 2024-11-07 危害级别 中 (AV:L/AC:L/Au:N/C:N/I:N/A:C) 影响产品 天津南大通用数据技术股份有限公司 GBase 8c V5_5.0.0 漏洞描述 GBase 8c是基于openGauss3.0构建的一款多模多态的分布式数据库。 天津南大通用数据技术股份有限公司GBase 8c存在多个二进制漏洞，攻击者可利用该漏洞导致拒绝服务。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已发布补丁修复漏洞，请广大用户及时下载更新：…

CNVD-ID CNVD-2024-43189 公开日期 2024-11-06 危害级别 高 (AV:N/AC:L/Au:S/C:C/I:N/A:P) 影响产品 IBM WebSphere Application Server 8.5 IBM WebSphere Application Server 9.0 CVE ID CVE-2024-45072 漏洞描述 IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web…

CNVD-ID CNVD-2024-43187 公开日期 2024-11-06 危害级别 中 (AV:N/AC:L/Au:N/C:N/I:P/A:N) 影响产品 IBM Watson Studio Local 1.2.3 CVE ID CVE-2024-49340 漏洞描述 IBM Watson Studio Local是美国国际商业机器（IBM）公司的一套协作数据处理解决方案。该产品包括数据分析、数据可视化、数据清理和流数据提取等功能。 IBM Watson Studio Local 1.2.3版本存在跨站请求伪…