Octoprint身份验证的反向代理页面身份验证旁路（CVE-2025-32788） CVE编号 CVE-2025-32788 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 OctoPrint为消费者3D打印机提供了一个Web界面。在截至并包括1.10.3版本之前，OctoPrint存在一个漏洞，攻击者可利用该漏洞绕过登录重定向，直接访问某些前端页面的渲染HTML。主要风险在于未来可能对代码库的错误修改，这些修改可能依赖于易受攻击的内部函数进行身份验证检查，从而导致安全漏…

io.jmix.localfs：jmix-localfs在本地文件存储中具有路径遍历（CVE-2025-32950） CVE编号 CVE-2025-32950 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 Jmix是一套用于加速Spring Boot数据为中心的应用开发的库和工具集。在版本1.0.0至1.6.1和版本2.0.0至2.3.4中，攻击者可以通过操纵FileRef参数访问Jmix应用程序部署的系统上的文件，前提是应用程序服务器具有必要的权限。这可以通过直接在数据…

io.jmix.rest：jmix-rest允许XSS在通用REST API（CVE-2025-32951）的 /文件端点中 CVE编号 CVE-2025-32951 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 Jmix是一套用于加速Spring Boot数据为中心的应用开发的库和工具集。在版本1.0.0至1.6.1和版本2.0.0至2.3.4中，输入参数（包含文件路径和名称）可以被操纵，如果名称部分以“.html”结尾，则会返回Content-Type头信息中的tex…

io.jmix.localfs：在本地文件存储中受DOS影响的JMIX-LOCALF（CVE-2025-32952） CVE编号 CVE-2025-32952 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 Jmix是一套用于加速Spring Boot数据为中心的应用开发的库和工具集。在版本1.0.0至1.6.1和版本2.0.0至2.3.4中，本地文件存储实现没有限制上传文件的大小。攻击者可以利用这一点上传过大的文件，可能导致服务器空间耗尽并返回HTTP 500错误，从而造…

古巴在文件存储（CVE-2025-32959）中容易拒绝服务（DOS） CVE编号 CVE-2025-32959 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 CUBA Platform 是一个用于企业级应用开发的高级框架。在版本 7.2.23 之前，本地文件存储实现没有对上传文件的大小进行限制。攻击者可以利用这一点上传过大的文件，可能导致服务器空间耗尽并返回 HTTP 500 错误，从而造成拒绝服务。这个问题已在版本 7.2.23 中得到修复。Jmix 文档网站上提供了一个解决方案。…

在 /文件端点（CVE-2025-32960）中，古巴通用REST API容易受到跨站点脚本（XSS）的影响 CVE编号 CVE-2025-32960 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 CUBA REST API 插件对数据进行和实体进行操作。在版本 7.2.7 之前，由文件路径和名称组成的输入参数可以被操纵，如果名称部分以 .html 结尾，则会返回 Content-Type 头部的 text/html。这可能会允许在浏览器中执行恶意 JavaScript …

在 /下载端点（CVE-2025-32961）中，CUBA JPA Web API容易受到跨站点脚本（XSS）的影响 CVE编号 CVE-2025-32961 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 古巴JPA Web API允许通过发送简单的HTTP请求来加载和保存应用程序数据模型中定义的任何实体。在版本1.1.1之前，输入参数包含文件路径和名称，如果名称部分以“.html”结尾，可以被操纵以返回Content-Type头信息中的文本/HTML。这可能会允许在浏览…

Minio Operator认证机制缺陷漏洞(CVE-2025-32963) CVE编号 CVE-2025-32963 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 ​MinIO Operator​​是一个开源的Kubernetes环境设计的自动化管理工具​​，用于简化 MinIO 对象存储集群的部署、运维和扩展。 在受漏洞影响的版本中，由于应用程序调用 MinIO Operator 提供的 API时，未验证该令牌的预期接收者 (audience) 是否为 MinIO S…

在禁用特殊特定权限的扩展程序时，Managewiki很容易绕过旁路：ManageWiki/Extensions（CVE-2025-32964） CVE编号 CVE-2025-32964 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 ManageWiki 是一个 MediaWiki 扩展，允许用户管理维基。在 commit 00bebea 之前，当启用一个冲突的扩展时，即使用户没有 ManageWiki 的权限，一个受限制的扩展也会自动被禁用。这个问题已在 commit 00bebea …

SAP Field Logistics（CVE-2025-31327）中的ODATA META-DATA属性实体篡改 CVE编号 CVE-2025-31327 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 SAP的Field Logistics Manage Logistics应用程序的OData元数据属性存在数据篡改漏洞。由于该漏洞，攻击者可能会外部修改某些字段，对应用程序的完整性造成较低的影响。但此漏洞不会影响到机密性和可用性。 解决建议 建议您更新当前系统或软件至最…

SAP S/4 HANA（学习解决方案）（CVE-2025-31328）中的跨站点伪造（CSRF）漏洞 CVE编号 CVE-2025-31328 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 SAP Learning Solution存在跨站请求伪造（CSRF）漏洞，攻击者可诱骗已认证用户向服务器发送非预期请求。基于GET的OData函数命名方式违反了预期行为，此问题可能影响应用程序的机密性和完整性，但不会影响可用性。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞…

折衷的Xrpl.js版本4.2.1、4.2.2、4.2.3、4.2.4和2.14.2（CVE-2025-32965） CVE编号 CVE-2025-32965 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23   漏洞描述 xrpl.js is a JavaScript/TypeScript API for interacting with the XRP Ledger in Node.js and the browser. Versions 4.2.1, 4.2.2, 4.2.3, an…

TWChat – 发送或接收来自

简单的电子商务购物车插件 - 通过 Paypal 销售产品

简单的电子商务购物车插件 - 通过 Paypal 销售产品

小程序 API

IBM QRadar SIEM 跨站点脚本（CVE-2024-47107） CVE编号 CVE-2024-47107 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-07 漏洞描述 IBM QRadar SIEM 7.5存在存储型跨站脚本漏洞。该漏洞允许经过身份验证的用户在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致在受信任的会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://www.ibm.com/support/pa…

WP Umbrella：更新备份恢复和监控

TP-Link VN020 F3v(T) SOAP 请求 WANIPConnection 缓冲区溢出（CVE-2024-12343） CVE编号 CVE-2024-12343 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-08 漏洞描述 已发现TP-Link VN020 F3v(T) TT_V6.2.1021存在一个关键漏洞。该漏洞影响组件SOAP Request Handler中的未知功能，文件为/control/WANIPConnection。操作参数NewConnectionType会导致缓冲区…

TP-Link VN020 F3v(T) FTP USER 命令内存损坏（CVE-2024-12344） CVE编号 CVE-2024-12344 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 发现TP-Link VN020 F3v(T) TT_V6.2.1021存在一个被分类为关键的漏洞。该漏洞影响组件中未知的FTP USER Command Handler部分。通过操纵可能导致内存损坏。攻击者可以远程发起攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软件至最新…

Talentera byt_cv_manager 跨站点脚本 (CVE-2024-12346) CVE编号 CVE-2024-12346 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 Talentera软件存在一个漏洞，该漏洞影响到了文件/app/control/byt_cv_manager中的未知代码。该漏洞是由于对参数redirect_url的操纵导致的跨站脚本攻击。攻击可以远程发起，并且该漏洞已被公开披露，可能被利用。提供的PoC仅在Mozilla Firefox浏览器中有效。该…

广州华谊智能科技Jeewms Druid监控接口index.html授权不当（CVE-2024-12347） CVE编号 CVE-2024-12347 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 发现广州华艺智能技术有限公司的Jeewms软件版本至1.0.0存在一个严重漏洞。该漏洞影响组件Druid监控界面的某些未知处理过程，具体影响文件为/jeewms_war/webpage/system/druid/index.html。由于不当授权，攻击者可能远程发起攻击。该漏洞已被公开披露，…

Denial-of-Service Vulnerability Identified in the VPort 07-3 Series (CVE-2024-9404) CVE编号 CVE-2024-9404 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 Moxa的IP摄像头存在一个中等严重程度的漏洞（CVE-2024-9404），可能导致拒绝服务或服务崩溃。这一漏洞允许攻击者利用名为“moxa_cmd”的Moxa服务，该服务原本是为部署而设计的。由于输入验证不足，该服务可能被操纵以触发…

Unauthorized Modification of Ticket Requester (CVE-2024-12123) CVE编号 CVE-2024-12123 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 在Issuetrak版本17.1中发现了一个隐藏字段操作漏洞，该漏洞可被认证用户触发。当认证用户提交票据时，请求可被拦截并使用代理进行后续修改。票据的请求者可以被从原始请求者更改为同一应用程序中的另一用户，而应用程序会接受这种更改。 解决建议 建议您更新当前系统或软件至最新版…

Dollie Hub – Build Your Own WordPress Cloud Platform