CNVD-ID CNVD-2024-46810 公开日期 2024-11-08 危害级别 高 (AV:A/AC:L/Au:S/C:C/I:C/A:C) 影响产品 NETGEAR XR300 v1.0.3.78 CVE ID CVE-2024-52018 漏洞描述 NETGEAR XR300是美国网件（NETGEAR）公司的一款无线路由器。 NETGEAR XR300 v1.0.3.78版本存在命令注入漏洞，该漏洞源于genie_dyn.cgi组件中的system_name参数未能正确过滤构造命令特殊字符、命令等。攻…

CNVD-ID CNVD-2024-46811 公开日期 2024-11-08 危害级别 中 (AV:A/AC:L/Au:S/C:N/I:N/A:C) 影响产品 NETGEAR XR300 v1.0.3.78 CVE ID CVE-2024-51016 漏洞描述 NETGEAR XR300是美国网件（NETGEAR）公司的一款无线路由器。 NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞，该漏洞源于usb_approve.cgi组件中的addName%d参数未能正确验证输入数据的长度大小，远程攻…

CNVD-ID CNVD-2024-46812 公开日期 2024-11-08 危害级别 中 (AV:A/AC:L/Au:S/C:N/I:N/A:C) 影响产品 NETGEAR XR300 v1.0.3.78 CVE ID CVE-2024-51007 漏洞描述 NETGEAR XR300是美国网件（NETGEAR）公司的一款无线路由器。 NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞，该漏洞源于wireless.cgi组件中的passphrase参数未能正确验证输入数据的长度大小，远程攻击者…

CNVD-ID CNVD-2024-46813 公开日期 2024-11-07 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:C/A:N) 影响产品 IBM CICS TX Standard 11.1 CVE ID CVE-2024-41744 漏洞描述 IBM CICS TX Standard是美国国际商业机器(IBM)公司的一个综合的单一事务运行时包,可以为独立应用程序提供云原生部署模型。 IBM CICS TX Standard Web UI存在跨站请求伪造漏洞，远程攻击者可以利用该漏洞构建恶意U…

CNVD-ID CNVD-2024-46808 公开日期 2024-11-14 危害级别 中 (AV:N/AC:L/Au:S/C:N/I:P/A:N) 影响产品 MonoCMS MonoCMS <20240528 CVE ID CVE-2024-10928 漏洞描述 MonoCMS是一个免费的开源内容管理系统。 MonoCMS /monofiles/opensaved.php处理filtcategory参数存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或…

CNVD-ID CNVD-2024-46807 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe Illustrator <28.7.2 CVE ID CVE-2024-47452 漏洞描述 Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。 Adobe Illustrator存在安全漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。 漏洞类型 通用型漏洞 参考链接 https://…

CNVD-ID CNVD-2024-46806 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe Animate >=24.0.0，<24.0.5 Adobe Animate <23.0.8 CVE ID CVE-2024-49526 漏洞描述 Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。 Adobe Animate存在安全漏洞，攻击者可利用该漏洞导致在当前用户的上下文中执行任意代…

CNVD-ID CNVD-2024-46805 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Adobe Animate >=24.0.0，<24.0.5 Adobe Animate <23.0.8 CVE ID CVE-2024-49527 漏洞描述 Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。 Adobe Animate存在安全漏洞，攻击者可利用该漏洞导致敏感内存泄露。 漏洞类型 通用…

CNVD-ID CNVD-2024-46804 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe Animate >=24.0.0，<24.0.5 Adobe Animate <23.0.8 CVE ID CVE-2024-49528 漏洞描述 Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。 Adobe Animate存在安全漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。…

CNVD-ID CNVD-2024-46799 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects >=24.0，<24.6.3 CVE ID CVE-2024-47441 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。…

CNVD-ID CNVD-2024-46800 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects >=24.0，<24.6.3 CVE ID CVE-2024-47443 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。…

CNVD-ID CNVD-2024-46801 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects <=24.6.2 CVE ID CVE-2024-47445 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。 Adobe Af…

CNVD-ID CNVD-2024-46802 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects >=24.0，<24.6.3 CVE ID CVE-2024-47444 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。…

CNVD-ID CNVD-2024-46803 公开日期 2024-11-19 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects >=24.0，<24.6.3 CVE ID CVE-2024-47442 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。…

Synapse 对媒体存储库的未经身份验证的写入允许植入有问题的内容（CVE-2024-37303） CVE编号 CVE-2024-37303 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 Synapse是一个开源的Matrix homeserver。在版本低于1.106的Synapse中，设计允许未经身份验证的远程参与者触发从远程homeserver下载并缓存远程媒体到本地媒体存储库。这样的内容也以未经身份验证的方式可从本地homeserver下载。这意味着未经身份验证的远程对手可以…

Synapse 通过媒体磁盘空间消耗来拒绝服务（CVE-2024-37302） CVE编号 CVE-2024-37302 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 Synapse是一个开源的Matrix homeserver。在版本低于1.106的Synapse中，存在一个磁盘填充漏洞攻击，未经验证的攻击者可以诱导Synapse下载并缓存大量远程媒体。默认的速率限制策略不足以缓解这种情况。这可能导致服务拒绝，根据Synapse的部署方式，从进一步的媒体上传/下载失败到完全无法使用S…

IBM Cognos Controller 身份验证绕过（CVE-2024-25036） CVE编号 CVE-2024-25036 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 IBM Cognos Controller 11.0.0 和 1.0.1 版本存在一个安全漏洞，允许具有本地访问权限的认证用户绕过安全限制，从而使得用户能够规避对输入字段施加的限制。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://www.ibm.com/support/…

IBM Cognos Controller 信息泄露（CVE-2024-25035） CVE编号 CVE-2024-25035 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 IBM Cognos Controller 11.0.0 和 1 暴露服务器详细信息可能导致攻击者获取应用程序环境信息，从而进行进一步的攻击。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://www.ibm.com/support/pages/node/7177220

IBM Cognos Controller 文件上传（CVE-2024-25019） CVE编号 CVE-2024-25019 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 IBM Cognos Controller 11.0.0 和 1.0.1 版本可能存在恶意文件上传漏洞。该漏洞源于没有对上传至日志条目的附件的文件类型进行验证。攻击者可利用此漏洞上传恶意可执行文件至系统，并将其发送给受害者以执行进一步的攻击。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 …

IBM Cognos Controller 信息泄露（CVE-2021-29892） CVE编号 CVE-2021-29892 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 IBM Cognos Controller 11.0.0 和 11.0.1 版本存在安全漏洞，可能允许远程攻击者通过未正确启用 HTTP Strict Transport Security 而获取敏感信息。攻击者可能会利用此漏洞使用中间人技术获取敏感信息。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复…

移动安全框架 (MobSF) 绕过 SSRF 修复 (CVE-2024-54000) CVE编号 CVE-2024-54000 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 Mobile Security Framework（MobSF）是一个渗透测试、恶意软件分析和安全评估框架，能够进行静态和动态分析。在版本低于3.9.7的情况下，_check_url方法中的requests.get()请求指定了allow_redirects=True，这允许在请求“.well-known/asse…

移动安全框架 (MobSF)“差异或比较”功能中的存储型跨站点脚本漏洞 (CVE-2024-53999) CVE编号 CVE-2024-53999 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 移动安全框架（MobSF）是一个渗透测试、恶意软件分析和安全评估框架，能够进行静态和动态分析。该应用程序允许用户上传文件名参数中的包含脚本的文件。因此，恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“差异对比”功能时，他们将受到存储型跨站脚本漏洞的影响。此漏洞已在版本4.2.9中修复。…

Vitess 允许在 /debug/querylogz 和 /debug/env 中注入 HTML（CVE-2024-53257） CVE编号 CVE-2024-53257 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 Vitess 是一个用于 MySQL 水平扩展的数据库集群系统。对于 vtgate 和 vttablet 的 /debug/querylogz 和 /debug/env 页面，用户输入未进行适当的转义处理。因此，Vitess 执行的查询可以随意在监控页面上写入 HTML…

Argo Workflows 允许在“客户端”模式下使用虚假令牌访问已存档的工作流 (CVE-2024-53862) CVE编号 CVE-2024-53862 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Argo Workflows是一个开源的容器原生工作流引擎，用于在Kubernetes上协调并行任务。在使用`--auth-mode=client`时，可以通过GET工作流端点`/api/v1/workflows/{namespace}/{name}`使用伪造令牌检索存档的工作流。当…

python-multipart 通过变形“multipart/form-data”边界存在拒绝服务 (DoS) 漏洞 (CVE-2024-53981) CVE编号 CVE-2024-53981 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 python-multipart是一个用于Python的流式多部分解析器。在解析表单数据时，python-multipart会跳过第一个边界之前的行尾（CR \r或LF \n）以及最后一个边界之后的尾随字节。这是逐个字节发生的，并且每次都会发出日志…