WordPress DancePress (TRWA) 插件 <= 3.1.11 - 跨站点请求伪造 (CSRF) 漏洞 (CVE-2024-53775) CVE编号 CVE-2024-53775 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 TannerRitchie Web Applications/DancePress（TRWA）中存在跨站请求伪造（CSRF）漏洞。这个问题影响DancePress（TRWA）版本从不适用到3.1.11。允许跨站请求伪造。 解决建议 建议您更…

WordPress Donate Me 插件 <= 1.2.5 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53776) CVE编号 CVE-2024-53776 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Raphael Heide的“捐助我”（Donate Me）存在跨站请求伪造（CSRF）漏洞，允许存储式跨站脚本（XSS）。此问题影响版本从未知至1.2.5。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://patch…

WordPress 简单页眉和页脚插件 <= 1.0.0 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53777) CVE编号 CVE-2024-53777 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 阿尔贝托·雷纳里（Alberto Reineri）的Simple Header和Footer存在跨站请求伪造（CSRF）漏洞，允许存储式跨站脚本攻击（Stored XSS）。这个问题影响的是Simple Header和Footer的版本从不适用到1.0.…

WordPress Yahoo! WebPlayer 插件 <= 2.0.6 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53779) CVE编号 CVE-2024-53779 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 跨站请求伪造（CSRF）漏洞存在于Max Engel Yahoo！WebPlayer中，允许存储跨站脚本攻击（XSS）。此问题影响Yahoo！WebPlayer的版本范围是从不适用到2.0.6。 解决建议 建议您更新当前系统或软件至最新版，完成漏…

WordPress 加载更多帖子插件 <= 1.4.0 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53780) CVE编号 CVE-2024-53780 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Rajeev Chauhan的“加载更多帖子”功能中存在跨站请求伪造（CSRF）漏洞，可能导致存储式跨站脚本（XSS）攻击。此问题影响版本从未知至1.4.0的“加载更多帖子”功能。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https:…

WordPress SpatialMatch IDX 插件 <= 3.0.9 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53781) CVE编号 CVE-2024-53781 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Home Junction SpatialMatch IDX存在跨站请求伪造（CSRF）漏洞，允许存储式跨站脚本（XSS）攻击。这个问题影响SpatialMatch IDX的版本从不适用到3.0.9。 解决建议 建议您更新当前系统或软件至最新版，…

WordPress 照片视频商店插件 <= 21.07 - CSRF 到跨站点脚本 (XSS) 漏洞 (CVE-2024-53782) CVE编号 CVE-2024-53782 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 CMSaccount的Photo Video Store存在跨站请求伪造（CSRF）漏洞，允许跨站脚本（XSS）攻击。这个问题影响Photo Video Store的版本从不适用到21.07。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考…

WordPress 智能营销短信和新闻通讯表单插件 <= 5.0.9 - 访问控制漏洞 (CVE-2024-53784) CVE编号 CVE-2024-53784 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 E-goi智能营销短信和新闻资讯表单中存在授权漏洞，允许攻击者利用配置不当的访问控制安全级别。这个问题影响智能营销短信和新闻资讯表单的版本从n/a至5.0.9。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://patchstack.…

WordPress 高级 我们接下来应该写什么关于插件 <=1.0.3 - CSRF 到存储跨站点脚本 (XSS) 漏洞 (CVE-2024-53789) CVE编号 CVE-2024-53789 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Ritesh Sanap Advanced中存在跨站请求伪造（CSRF）漏洞，允许存储跨站脚本攻击（Stored XSS）。此问题影响版本从未知至1.0.3。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  htt…

WordPress Watu Quiz 插件 <= 3.4.2 - SQL 注入漏洞 (CVE-2024-53792) CVE编号 CVE-2024-53792 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Kiboko Labs的水上测验（Watu Quiz）存在SQL命令中特殊元素未适当处理（SQL注入）漏洞。这个问题影响水上测验的版本从不适用到3.4.2。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://patchstack.com…

WordPress eDoc Easy Tables 插件 <= 1.29 - CSRF 到 SQL 注入漏洞 (CVE-2024-53793) CVE编号 CVE-2024-53793 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 eDoc Intelligence LLC的eDoc Easy Tables存在跨站请求伪造（CSRF）漏洞，允许盲SQL注入。这个问题影响eDoc Easy Tables的版本从不适用到1.29。 解决建议 建议您更新当前系统或软件至最新版，完成漏…

IdentityIQ 不当访问控制漏洞IdentityIQ 不当访问控制漏洞 (CVE-2024-10905) CVE编号 CVE-2024-10905 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 IdentityIQ 8.4及以下版本（包括所有低于8.4p2的补丁级别），IdentityIQ 8.3及以下版本（包括所有低于8.3p5的补丁级别），IdentityIQ 8.2及以下版本（包括所有低于8.2p8的补丁级别），以及所有之前的版本允许对IdentityIQ应用程序目录中的静…

Spring Security 大小写敏感校验鉴权绕过风险(CVE-2024-38827) CVE编号 CVE-2024-38827 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Spring Security 是开源的身份验证和访问控制框架。 由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关，在Spring Security受影响版本中调用该方法进行鉴权判断时未指定Locale参数。导致在特定地区的…

WhatsUp Gold GetOrderByClause SQL 注入权限提升漏洞 (CVE-2024-46905) CVE编号 CVE-2024-46905 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中，存在一个SQL注入漏洞，允许经过身份验证的低权限用户（至少需要具有网络管理员权限）实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://community.…

WhatsUp Gold GetSqlWhereClause SQL 注入权限提升漏洞 (CVE-2024-46906) CVE编号 CVE-2024-46906 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中，存在一个SQL注入漏洞，允许经过身份验证的低权限用户（至少需要报告查看器权限）实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://community.p…

WhatsUp Gold GetFilterCriteria SQL 注入权限提升漏洞 (CVE-2024-46907) CVE编号 CVE-2024-46907 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中，存在一个SQL注入漏洞，允许经过身份验证的低权限用户（至少需要报告查看器权限）实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://community.p…

WhatsUp Gold GetFilterCriteria SQL 注入权限提升漏洞 (CVE-2024-46908) CVE编号 CVE-2024-46908 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前发布的版本中，存在一个SQL注入漏洞，允许经过身份验证的低权限用户（至少需要报告查看器权限）实现特权提升到管理员账户。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://community.p…

WhatsUp Gold WriteDataFile 目录遍历远程代码执行漏洞 (CVE-2024-46909) CVE编号 CVE-2024-46909 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold 2024.0.1之前的版本中，远程未经身份验证的攻击者可以利用此漏洞以服务帐户的上下文执行代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://community.progress.com/s/article/Wha…

WhatsUp Gold 注册表覆盖远程代码执行漏洞 (CVE-2024-8785) CVE编号 CVE-2024-8785 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在WhatsUp Gold的2024.0.1之前的版本中，远程未经身份验证的攻击者可以利用NmAPI.exe在注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch下创建或更改现有的注册表值。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 …

code-projects 简单汽车租赁系统 login.php sql 注入 (CVE-2024-11962) CVE编号 CVE-2024-11962 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 在代码项目 Simple Car Rental System 1.0 中发现了一个被分类为关键的漏洞。受影响的是 /login.php 文件的一个未知功能。通过操纵参数 uname，可以导致 SQL 注入。攻击可以远程发起。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软…

code-projects 响应式酒店网站 room.php sql 注入 (CVE-2024-11963) CVE编号 CVE-2024-11963 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 在 code-projects Responsive Hotel Site 1.0 中发现了一个被分类为关键的漏洞。该漏洞影响了文件 /admin/room.php 中的某些未知功能。通过操作参数 troom，可能导致 SQL 注入攻击。攻击可能远程发起。该漏洞已被公开披露并可被利用。 解决…

Cradlepoint NetCloud Exchange 中的默认权限不正确（CVE-2024-11969） CVE编号 CVE-2024-11969 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Windows版本的NetCloud Exchange客户端（版本1.110.50）存在一个不安全的文件和文件夹权限漏洞。普通（非管理员）用户可能会利用文件和文件夹权限的漏洞来提升权限，执行任意代码并在受影响的机器上保持持久性。已经发现“所有人”组存在完全控制权限（即对操作系统具有本地访问…

PHPGurukul 投诉管理系统 index.php sql 注入 (CVE-2024-11964) CVE编号 CVE-2024-11964 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 PHPGurukul投诉管理系统版本1.0存在一个被分类为严重的漏洞。该漏洞影响未知部分的文件/user/index.php。操纵参数emailid会导致SQL注入攻击。攻击可以远程发起。该漏洞已被公开披露，可能被利用。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  h…

PHPGurukul 投诉管理系统 reset-password.php sql 注入 (CVE-2024-11965) CVE编号 CVE-2024-11965 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 PHPGurukul投诉管理系统版本1.0存在一个严重漏洞。该漏洞影响/user/reset-password.php文件中未知的代码段。操纵参数email会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露，可能被利用。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的…

Apache Arrow R 包反序列化漏洞(CVE-2024-52338) CVE编号 CVE-2024-52338 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Apache Arrow R 包是 Apache Arrow 项目的R语言组件，用于处理高性能的列式数据格式。 受影响的版本中，由于extension_metadata() 中直接调用 unserialize函数，导致反序列化漏洞。在读取 R 元数据时未进行类型或内容检查，允许恶意数据通过 x 参数触发任意代码执行。 攻击…