刮刮乐 - 赠品和竞赛
Apache Ozone:生成 S3 机密时身份验证不当(CVE-2024-45106) CVE编号 CVE-2024-45106 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Apache Ozone 1.4.0版本中的S3网关HTTP端点身份验证不当,允许任何经过Kerberos身份验证的用户撤销并重新生成其他用户的S3密钥。这种情况仅会在以下情况下发生:* ozone.s3g.secret.http.enabled设置为true。此配置的默认值为false。* 在ozone.s3…
Liteos_a 存在释放后使用漏洞(CVE-2024-10074) CVE编号 CVE-2024-10074 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.1.1及之前版本中,本地攻击者可以通过使用后释放(use after free)的方式将普通权限升级到root权限。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh/s…
Ability Runtime 存在越界读取权限绕过漏洞(CVE-2024-12082) CVE编号 CVE-2024-12082 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.0.0及之前版本中,本地攻击者可以通过越界读取(out-of-bounds Read)导致信息泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh…
Liteos_a 存在越界读取漏洞(CVE-2024-9978) CVE编号 CVE-2024-9978 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.1.1及其之前的版本中,本地攻击者可以通过越界读取(out-of-bounds Read)导致信息泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh/security-d…
Goodlayers Core <= 2.0.7 — 通过“font-family”反射跨站点脚本(CVE-2024-11200) CVE编号 CVE-2024-11200 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的Goodlayers Core插件存在跨站脚本反射漏洞,该漏洞存在于所有版本至包括2.0.7版本中的“字体家族”参数,由于输入清理和输出转义不足。这使得未经身份验证的攻击者能够在页面上注入任意Web脚本,如果攻击者能够成功诱使用户执行操作(例如…
高级文件管理器 <= 5.2.10 — 经过身份验证 (Subscriber+) 任意文件上传 (CVE-2024-11391) CVE编号 CVE-2024-11391 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的Advanced File Manager插件存在任意文件上传漏洞,该漏洞是由于缺少文件类型验证所致,影响所有版本至包括5.2.10版本中的'class_fma_connector.php'文件。这使得经过身份验证的攻击者(拥有订阅者级别访问权限…
WordPress 多级推荐联盟插件,适用于 WooCommerce 插件 <= 2.27 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-53742) CVE编号 CVE-2024-53742 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在生成网页时输入未适当中和(Neutralization)的问题(“跨站脚本”漏洞)存在于 Prism I.T. 系统的 WooCommerce 多级推荐联盟插件中,这可能导致反射型跨站脚本攻击(Reflected XSS)。此问题…
WordPress Elementor 倒计时器插件 <= 1.3.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53743) CVE编号 CVE-2024-53743 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 FlickDevs的Elementor倒计时计时器中存在网页生成过程中输入未适当中和的问题(即跨站脚本漏洞),允许存储式跨站脚本攻击(Stored XSS)。此问题影响Elementor倒计时计时器的版本从不适用到1.3.6。 解决建议 建议您更新当前系统…
WordPress Elementor 图片库插件 <= 1.0.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53744) CVE编号 CVE-2024-53744 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Skybootstrap Elementor图片库插件中存在网页生成过程中输入未适当中和的问题(跨站脚本漏洞),允许存储式跨站脚本攻击。这个问题影响Elementor图片库插件的版本从不适用到1.0.3。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress 社交分享按钮 By Cosmos Farm 插件 <= 1.9 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53745) CVE编号 CVE-2024-53745 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 抱歉,这个功能暂未开放上线。您也可以用中文或英文问我一些其他的问题,我会尽力为您解答。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/wordpress…
WordPress Elementor Button Plus 插件 <= 1.3.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53746) CVE编号 CVE-2024-53746 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 FlickDevs Elementor Button Plus存在网页生成过程中输入未适当中和(跨站脚本攻击)漏洞,允许存储式跨站脚本攻击。此问题影响Elementor Button Plus的版本从不适用到1.3.3。 解决建议 建议您更…
WordPress Video Player for WPBakery 插件 <= 1.0.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53747) CVE编号 CVE-2024-53747 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 NuttTaro Video Player for WPBakery存在网页生成过程中输入未适当中和(跨站脚本)漏洞,允许存储式跨站脚本攻击(Stored XSS)。这个问题影响Video Player for WPBakery的版…
WordPress WP Mermaid 插件 <= 1.0.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53748) CVE编号 CVE-2024-53748 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Terry Lin WP Mermaid存在网页生成过程中输入未适当中和(跨站脚本漏洞)的漏洞,允许存储式跨站脚本攻击(Stored XSS)。此问题影响WP Mermaid的版本范围是从不适用到1.0.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress Post Carousel Slider for Elementor 插件 <= 1.4.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53749) CVE编号 CVE-2024-53749 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在网页生成过程中未正确处理输入(跨站脚本漏洞)存在于Elementor的插件Devs Post Carousel Slider中,允许存储跨站脚本(XSS)。这个问题影响的是Elementor的Post Carou…
WordPress PayPal Responder 插件 <= 1.2 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53750) CVE编号 CVE-2024-53750 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Maeve Lander的PayPal Responder存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(XSS)。这个问题影响的是PayPal Responder的版本从n/a到1.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏…
WordPress Stripe Donation 插件 <= 1.2.5 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53752) CVE编号 CVE-2024-53752 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在网页生成过程中没有对输入进行适当的中和(Neutralization),导致出现了跨站脚本(Cross-site Scripting)漏洞。这个漏洞存在于Berg Informatik的Stripe捐款插件中,允许存储式跨站脚本攻击(Stored X…
代码项目 Farmacia Visualizar-produto.php SQL 注入 (CVE-2024-12007) CVE编号 CVE-2024-12007 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在 code-projects Farmacia 1.0 中发现了一个被分类为关键的漏洞。该漏洞影响文件 /visualizar-produto.php 的未知部分。通过操纵参数 id 可以导致 SQL 注入。攻击者可以远程发起攻击。该漏洞已被公开披露,可能会被利用。 解决建议 …
HPE IceWall 产品,远程未经授权的数据修改(CVE-2024-11856) CVE编号 CVE-2024-11856 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 HPE IceWall产品中存在一个安全漏洞,可能会被远程利用导致未经授权的数据修改。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbmu04762en_us&d…