PHPGurukul 投诉管理系统 index.php sql 注入 (CVE-2024-11966) CVE编号 CVE-2024-11966 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 PHPGurukul投诉管理系统版本1.0存在一个严重漏洞。该问题影响了某些未知的文件处理过程,位于/admin/index.php。操纵参数username会导致SQL注入攻击。攻击可能远程发起。该漏洞已被公开披露,可能被利用。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考…
PHPGurukul 投诉管理系统 reset-password.php sql 注入 (CVE-2024-11967) CVE编号 CVE-2024-11967 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 PHPGurukul投诉管理系统版本1.0存在一个被分类为严重的漏洞。受影响的是位于/admin/reset-password.php文件中的未知功能。通过操纵参数email可以导致SQL注入攻击。攻击可以远程发起,该漏洞已被公开披露,可能被利用。 解决建议 建议您更新当前系统或…
code-projects Farmacia pagamento.php SQL 注入 (CVE-2024-11968) CVE编号 CVE-2024-11968 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Farmacia代码项目中的版本至1.0存在一个被认定为关键的漏洞。该漏洞影响文件pagamento.php中的未知功能。通过操纵参数notaFiscal导致SQL注入攻击。攻击可以远程发起。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:…
code-projects 演唱会门票订购系统 tour(cor).php sql 注入 (CVE-2024-11970) CVE编号 CVE-2024-11970 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 在代码项目音乐会票务订购系统 1.0 中发现了一个被分类为关键的漏洞。受影响的是文件 /tour(cor).php 的一个未知功能。通过操作参数 mai 可以导致 SQL 注入。攻击可以远程发起。该漏洞已被公开披露并且可能被利用。 解决建议 建议您更新当前系统或软件至最新版,完…
贵州小马科技jpress头像上传跨站脚本(CVE-2024-11971) CVE编号 CVE-2024-11971 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 在贵州小码科技 jpress 5.1.2 中发现了一个分类为问题的漏洞。该漏洞影响组件 Avatar Handler 中的未知功能 /commons/attachment/upload。操纵参数文件会导致跨站脚本攻击。攻击可以远程发起。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。…
GENESIS64 和 MC Works64 中的恶意代码执行漏洞 (CVE-2024-8299) CVE编号 CVE-2024-8299 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 ICONICS的GENESIS64所有版本、三菱电机的GENESIS64所有版本以及三菱电机的MCWorks64所有版本中存在未受控制的搜索路径元素漏洞。攻击者可以通过在特定文件夹中存储恶意制作的DLL来执行恶意代码。这可能导致受影响产品中的信息泄露、篡改、破坏或删除,或在产品上造成拒绝服务(DoS)状…
GENESIS64 中的恶意代码执行漏洞 (CVE-2024-8300) CVE编号 CVE-2024-8300 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 ICONICS的GENESIS64版本(包括版本10.97.2、10.97.2 CFR1、10.97.2 CRF2和10.97.3),以及Mitsubishi Electric的GENESIS64版本(同样包括版本10.97.2、10.97.2 CFR1、10.97.2 CRF2和10.97.3)存在死代码漏洞(Dead Cod…
GENESIS64 和 MC Works64 中的恶意代码执行漏洞 (CVE-2024-9852) CVE编号 CVE-2024-9852 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 ICONICS的GENESIS64所有版本、三菱电机的GENESIS64所有版本以及三菱电机的MCWorks64所有版本中存在未受控制的搜索路径元素漏洞。攻击者可以通过在特定文件夹中存储恶意制作的DLL来执行恶意代码。这可能导致受影响产品中的信息泄露、篡改、破坏或删除,或在产品上造成拒绝服务(DoS)状…
Interinfo DreamMaker - 通过路径遍历读取任意文件 (CVE-2024-11978) CVE编号 CVE-2024-11978 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 DreamMaker来自Interinfo存在路径遍历漏洞,允许未经身份验证的远程攻击者利用此漏洞读取任意系统文件。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.twcert.org.tw/en/cp-139-8270-a56e6-2.htm…
Interinfo DreamMaker - 通过路径遍历进行不受限制的文件上传(CVE-2024-11979) CVE编号 CVE-2024-11979 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 DreamMaker来自Interinfo存在路径遍历漏洞,并且没有对上传文件的类型进行限制。这使得未经身份验证的远程攻击者能够向任意目录上传任意文件,通过上传webshell导致任意代码执行。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://w…
10Web 的照片库 < 1.8.31 - Admin+ 存储型 XSS (CVE-2024-10704) CVE编号 CVE-2024-10704 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 The Photo Gallery by 10Web WordPress plugin before 1.8.31 does not sanitise and escape some of its settings, which could allow high privilege us…
Element Pack Elementor Addons < 5.10.3 - Contributor+ 存储型 XSS (CVE-2024-10980) CVE编号 CVE-2024-10980 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Element Pack Elementor插件(包含页眉页脚、模板库、动态网格、幻灯片以及远程箭头)WordPress插件版本低于5.10.3时,在输出Cookie同意块选项时未进行验证和转义处理,这可能导致具有贡献者角色及以上的用户执…
亿电路由器 - 缺少身份验证(CVE-2024-11980) CVE编号 CVE-2024-11980 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 亿电(Billion Electric)的部分路由器模式存在缺失认证漏洞(Missing Authentication vulnerability),这使得未经身份验证的远程攻击者能够直接访问特定功能,从而获得部分设备信息、修改WiFi SSID并重启设备。 解决建议 "将组件 M120N 升级至 1.04.613.13 及以上版本" "…
亿电路由器——身份验证绕过(CVE-2024-11981) CVE编号 CVE-2024-11981 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 亿电(Billion Electric)的某些路由器型号存在认证绕过漏洞,允许未经身份验证的攻击者检索任意网页的内容。 解决建议 "将组件 M120N 升级至 1.04.1.675 及以上版本" "将组件 M120N 升级至 1.04.1.592.8 及以上版本" "将组件 M100 升级至 1.04.1.592.8 及以上版本" "将组件…
亿电路由器——密码明文存储(CVE-2024-11982) CVE编号 CVE-2024-11982 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 亿电(Billion Electric)某些型号的路由器存在明文存储密码漏洞。具有管理员权限的远程攻击者可以访问用户设置页面,获取明文密码。 解决建议 "将组件 M120N 升级至 1.04.1.675 及以上版本" "将组件 M120N 升级至 1.04.1.613.13 及以上版本" "将组件 M100 升级至 1.04.1.592.8…
亿电路由器——操作系统命令注入(CVE-2024-11983) CVE编号 CVE-2024-11983 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 亿电(Billion Electric)的某些路由器型号存在操作系统命令注入漏洞,允许拥有管理员权限的远程攻击者向特定的SSH功能注入任意系统命令,并在设备上执行这些命令。 解决建议 "将组件 M100 升级至 1.04.1.613.13 及以上版本" "将组件 M500 升级至 1.04.1.592.8 及以上版本" "将组件 M10…
EasyTax 中的 XML 外部实体 (XXE) 漏洞 (CVE-2024-9044) CVE编号 CVE-2024-9044 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Easy Tax Client软件在Windows、Linux和macOS等多个平台上发现了XML外部实体(XXE)漏洞存在于其版本为2023 1.2及更早的版本中。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.ag.ch/de/verwaltung/dfr/…
将站点机密记录到自动化日志中(CVE-2024-47094) CVE编号 CVE-2024-47094 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Checkmk GmbH的Checkmk版本中存在敏感信息写入日志文件的漏洞,具体版本包括低于2.3.0p22、低于2.2.0p37以及低于2.1.0p50(已终止支持)。该漏洞会导致远程站点密钥被写入本地用户可访问的Web日志文件中。 解决建议 "将组件 Checkmk 升级至 2.3.0p22 及以上版本" "将组件 Checkmk …
Century Systems FutureNet NXR 安全漏洞(CVE-2024-50357) CVE编号 CVE-2024-50357 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Century Systems FutureNet NXR是日本Century Systems公司的一系列路由器。 Century Systems FutureNet NXR存在安全漏洞,该漏洞源于初始配置中REST-APIs在设备启动时意外启用,攻击者可能通过REST-API获取或更改受影响产品的…
NetWin 的 SurgeMail 中的跨站点脚本 (XSS) (CVE-2024-11990) CVE编号 CVE-2024-11990 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 SurgeMail v78c2存在跨站脚本(XSS)漏洞,攻击者可利用该漏洞通过注入易受攻击的参数字符串来执行任意JavaScript代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.incibe.es/en/incibe-cert/notice…
Quick.CMS 中的路径遍历漏洞(CVE-2024-11992) CVE编号 CVE-2024-11992 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-29 漏洞描述 Quick.CMS版本6.7存在绝对路径遍历漏洞。利用该漏洞,远程用户可以通过绕过预期的访问限制,下载服务器上的任何文件(如果该文件在服务器上的配置文档根目录之外具有适当的权限)。攻击者可以通过admin.php页面中的aDirFiles%5B0%5D参数进行利用。由于缺乏对用户提供的输入进行适当的验证,攻击者还可以删除存储在服务…
IBM Security Verify Access Appliance 命令执行 (CVE-2024-49803) CVE编号 CVE-2024-49803 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-30 漏洞描述 IBM Security Verify Access Appliance版本10.0.0至10.0.8存在一个漏洞,允许远程经过身份验证的攻击者通过发送精心构造的请求在系统上执行任意命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://ww…
IBM Security Verify Access Appliance 权限提升(CVE-2024-49804) CVE编号 CVE-2024-49804 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-30 漏洞描述 IBM Security Verify Access Appliance版本10.0.0至10.0.8可能存在漏洞,允许本地经过身份验证的非管理员用户因执行某些任务时使用了不必要的权限而提升特权。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:/…
IBM Security Verify Access Appliance 硬编码凭证(CVE-2024-49805) CVE编号 CVE-2024-49805 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-30 漏洞描述 IBM Security Verify Access Appliance版本10.0.0至10.0.8在其内部认证、与外部组件的出站通信或内部数据的加密过程中使用了硬编码凭据(如密码或加密密钥)。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:…
IBM Security Verify Access Appliance 硬编码凭证(CVE-2024-49806) CVE编号 CVE-2024-49806 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-30 漏洞描述 IBM Security Verify Access Appliance版本10.0.0至10.0.8在其内部认证、与外部组件的出站通信或内部数据的加密过程中使用了硬编码凭据(如密码或加密密钥)。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:…