WordPress Out Of Stock Badge 插件 <= 1.3.1 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53754) CVE编号 CVE-2024-53754 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Arrow Design的库存不足徽章存在跨站请求伪造(CSRF)漏洞。这一漏洞允许跨站请求伪造,影响版本从不适用至1.3.1的库存不足徽章。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patc…
WordPress 第三方 Cookie Eraser 插件 <= 1.0.2 - CSRF 到跨站点脚本 (XSS) 漏洞 (CVE-2024-53755) CVE编号 CVE-2024-53755 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Andrea Pernici的第三方Cookie擦除工具中存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(Stored XSS)。这个问题影响的是第三方Cookie擦除工具的版本从不适用到1.0.2。 解决建议 建议您更新当前…
WordPress ArCa 支付网关插件 <= 1.3.1 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53759) CVE编号 CVE-2024-53759 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在网页生成过程中未正确处理输入(跨站脚本漏洞)的漏洞存在于Planet Studio团队的ArCa支付网关中,导致存储式跨站脚本攻击(Stored XSS)。这个问题影响ArCa支付网关的版本从不适用到1.3.1。 解决建议 建议您更新当前系统或软件…
WordPress WP Revisions Manager 插件 <= 1.0.2 - 跨站点请求伪造 (CSRF) 漏洞 (CVE-2024-53761) CVE编号 CVE-2024-53761 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 P. Roy WP Revisions Manager中存在跨站请求伪造(CSRF)漏洞,允许跨站请求伪造。这个问题影响WP Revisions Manager的版本从不适用到1.0.2。 解决建议 建议您更新当前系统或软件至最新版,完…
WordPress FastBook 插件 <= 1.1 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53762) CVE编号 CVE-2024-53762 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Faster Themes的FastBook响应式预约预订与调度系统存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(Stored XSS)。此问题影响FastBook响应式预约预订与调度系统的版本从不适用到1.1。 解决建议 建议您更新当前系统…
WordPress Mins To Read 插件 <= 1.2.2 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53765) CVE编号 CVE-2024-53765 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 跨站请求伪造(CSRF)漏洞存在于Think201的“Mins To Read”功能中,允许存储式跨站脚本攻击(Stored XSS)。此问题影响版本从未知至1.2.2的“Mins To Read”。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress 自定义帖子类型映射商店插件 <= 1.1.0 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53769) CVE编号 CVE-2024-53769 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 跨站请求伪造(CSRF)漏洞存在于Ludovic RIAUDEL的自定义地图商店文章类型中,允许存储跨站脚本攻击(XSS)。这个问题影响的是自定义地图商店文章类型的版本从不适用到1.1.0。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考…
WordPress RingCentral Communications 插件 <= 1.6.1 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53770) CVE编号 CVE-2024-53770 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 RingCentral通信中的Peter MacIntyre存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(Stored XSS)。此问题影响RingCentral通信版本从不适用到1.6.1。 解决建议 建议您更新…
WordPress DancePress (TRWA) 插件 <= 3.1.11 - 跨站点请求伪造 (CSRF) 漏洞 (CVE-2024-53775) CVE编号 CVE-2024-53775 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 TannerRitchie Web Applications/DancePress(TRWA)中存在跨站请求伪造(CSRF)漏洞。这个问题影响DancePress(TRWA)版本从不适用到3.1.11。允许跨站请求伪造。 解决建议 建议您更…
WordPress Donate Me 插件 <= 1.2.5 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53776) CVE编号 CVE-2024-53776 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Raphael Heide的“捐助我”(Donate Me)存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本(XSS)。此问题影响版本从未知至1.2.5。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patch…
WordPress 简单页眉和页脚插件 <= 1.0.0 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53777) CVE编号 CVE-2024-53777 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 阿尔贝托·雷纳里(Alberto Reineri)的Simple Header和Footer存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(Stored XSS)。这个问题影响的是Simple Header和Footer的版本从不适用到1.0.…
WordPress Yahoo! WebPlayer 插件 <= 2.0.6 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53779) CVE编号 CVE-2024-53779 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 跨站请求伪造(CSRF)漏洞存在于Max Engel Yahoo!WebPlayer中,允许存储跨站脚本攻击(XSS)。此问题影响Yahoo!WebPlayer的版本范围是从不适用到2.0.6。 解决建议 建议您更新当前系统或软件至最新版,完成漏…
WordPress 加载更多帖子插件 <= 1.4.0 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53780) CVE编号 CVE-2024-53780 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Rajeev Chauhan的“加载更多帖子”功能中存在跨站请求伪造(CSRF)漏洞,可能导致存储式跨站脚本(XSS)攻击。此问题影响版本从未知至1.4.0的“加载更多帖子”功能。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:…
WordPress SpatialMatch IDX 插件 <= 3.0.9 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53781) CVE编号 CVE-2024-53781 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Home Junction SpatialMatch IDX存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本(XSS)攻击。这个问题影响SpatialMatch IDX的版本从不适用到3.0.9。 解决建议 建议您更新当前系统或软件至最新版,…
WordPress 照片视频商店插件 <= 21.07 - CSRF 到跨站点脚本 (XSS) 漏洞 (CVE-2024-53782) CVE编号 CVE-2024-53782 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 CMSaccount的Photo Video Store存在跨站请求伪造(CSRF)漏洞,允许跨站脚本(XSS)攻击。这个问题影响Photo Video Store的版本从不适用到21.07。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考…
WordPress 智能营销短信和新闻通讯表单插件 <= 5.0.9 - 访问控制漏洞 (CVE-2024-53784) CVE编号 CVE-2024-53784 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 E-goi智能营销短信和新闻资讯表单中存在授权漏洞,允许攻击者利用配置不当的访问控制安全级别。这个问题影响智能营销短信和新闻资讯表单的版本从n/a至5.0.9。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.…
WordPress 高级 我们接下来应该写什么关于插件 <=1.0.3 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53789) CVE编号 CVE-2024-53789 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Ritesh Sanap Advanced中存在跨站请求伪造(CSRF)漏洞,允许存储跨站脚本攻击(Stored XSS)。此问题影响版本从未知至1.0.3。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 htt…
WordPress Watu Quiz 插件 <= 3.4.2 - SQL 注入漏洞 (CVE-2024-53792) CVE编号 CVE-2024-53792 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Kiboko Labs的水上测验(Watu Quiz)存在SQL命令中特殊元素未适当处理(SQL注入)漏洞。这个问题影响水上测验的版本从不适用到3.4.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com…
WordPress eDoc Easy Tables 插件 <= 1.29 - CSRF 到 SQL 注入漏洞 (CVE-2024-53793) CVE编号 CVE-2024-53793 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 eDoc Intelligence LLC的eDoc Easy Tables存在跨站请求伪造(CSRF)漏洞,允许盲SQL注入。这个问题影响eDoc Easy Tables的版本从不适用到1.29。 解决建议 建议您更新当前系统或软件至最新版,完成漏…
IdentityIQ 不当访问控制漏洞IdentityIQ 不当访问控制漏洞 (CVE-2024-10905) CVE编号 CVE-2024-10905 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 IdentityIQ 8.4及以下版本(包括所有低于8.4p2的补丁级别),IdentityIQ 8.3及以下版本(包括所有低于8.3p5的补丁级别),IdentityIQ 8.2及以下版本(包括所有低于8.2p8的补丁级别),以及所有之前的版本允许对IdentityIQ应用程序目录中的静…
Spring Security 大小写敏感校验鉴权绕过风险(CVE-2024-38827) CVE编号 CVE-2024-38827 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Spring Security 是开源的身份验证和访问控制框架。 由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关,在Spring Security受影响版本中调用该方法进行鉴权判断时未指定Locale参数。导致在特定地区的…
WhatsUp Gold GetOrderByClause SQL 注入权限提升漏洞 (CVE-2024-46905) CVE编号 CVE-2024-46905 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中,存在一个SQL注入漏洞,允许经过身份验证的低权限用户(至少需要具有网络管理员权限)实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://community.…
WhatsUp Gold GetSqlWhereClause SQL 注入权限提升漏洞 (CVE-2024-46906) CVE编号 CVE-2024-46906 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中,存在一个SQL注入漏洞,允许经过身份验证的低权限用户(至少需要报告查看器权限)实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://community.p…
WhatsUp Gold GetFilterCriteria SQL 注入权限提升漏洞 (CVE-2024-46907) CVE编号 CVE-2024-46907 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中,存在一个SQL注入漏洞,允许经过身份验证的低权限用户(至少需要报告查看器权限)实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://community.p…
WhatsUp Gold GetFilterCriteria SQL 注入权限提升漏洞 (CVE-2024-46908) CVE编号 CVE-2024-46908 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中,存在一个SQL注入漏洞,允许经过身份验证的低权限用户(至少需要报告查看器权限)实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://community.p…