Easy Folder Listing Pro 反序列化漏洞 (CVE-2024-11145) CVE编号 CVE-2024-11145 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Valor Apps Easy Folder Listing Pro has a deserialization vulnerability that allows an unauthenticated, remote attacker to execute arbitrary code with the…
SourceCodester 最佳房屋租赁管理系统 ajax.php 跨站点脚本 (CVE-2024-11742) CVE编号 CVE-2024-11742 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability, which was classified as problematic, has been found in SourceCodester Best House Rental Management System 1.0. This issue affe…
SourceCodester 最佳房屋租赁管理系统 POST 请求 ajax.php 跨站请求伪造 (CVE-2024-11743) CVE编号 CVE-2024-11743 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability, which was classified as problematic, was found in SourceCodester Best House Rental Management System 1.0. Affected is…
Cri-o:可以从不同的命名空间触发检查点恢复(CVE-2024-8676) CVE编号 CVE-2024-8676 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability was found in CRI-O, where it can be requested to take a checkpoint archive of a container and later be asked to restore it. When it does that resto…
1000 个项目组合管理系统 MCA register.php sql 注入 (CVE-2024-11744) CVE编号 CVE-2024-11744 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability has been found in 1000 Projects Portfolio Management System MCA 1.0 and classified as critical. Affected by this vulnerability is…
Tenda AC8 SetStaticRouteCfg route_static_check 堆栈溢出 (CVE-2024-11745) CVE编号 CVE-2024-11745 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability was found in Tenda AC8 16.03.34.09 and classified as critical. Affected by this issue is the function route_static_c…
在 lakeFS 中重新创建已删除的用户将重新启用删除之前存在的用户凭据 (CVE-2024-43784) CVE编号 CVE-2024-43784 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 lakeFS is an open-source tool that transforms object storage into a Git-like repository. Existing lakeFS users who have issued credentials to users…
PHPGurukul 用户注册和登录及用户管理系统 index.php sql 注入 (CVE-2024-11817) CVE编号 CVE-2024-11817 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 PHPGurukul用户注册与登录和用户管理系统1.0存在一个漏洞,被评定为高危。该漏洞影响位于/admin/index.php文件中的某些未知功能。通过操纵参数username,可以导致SQL注入攻击。攻击可能是远程发起的。该漏洞已被公开披露,可能被利用。 解决建议 建议您更新当…
PHPGurukul 用户注册和登录及用户管理系统 signup.php sql 注入 (CVE-2024-11818) CVE编号 CVE-2024-11818 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 PHPGurukul 用户注册与登录以及用户管理系统 1.0 中发现了一个被分类为关键的漏洞。该漏洞影响 /signup.php 文件中的未知部分。操纵参数 email 会导致 SQL 注入。攻击者可以远程发起攻击。该漏洞已被公开披露,可能会被利用。 解决建议 建议您更新当前系统…
1000 个项目组合管理系统 MCA forgot_password_process.php SQL 注入 (CVE-2024-11819) CVE编号 CVE-2024-11819 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 在“千个项目组合管理系统MCA 1.0”中发现了一个被分类为关键的漏洞。该漏洞影响未知代码的/forgot_password_process.php文件。操纵参数username会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露,可能会被利用。 解决建议 …
editorconfig-core-c 中的多个堆栈缓冲区溢出和指针溢出 (CVE-2024-53849) CVE编号 CVE-2024-53849 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 EditorConfig 核心库(editorconfig-core-c)是用 C 语言编写的,供支持 EditorConfig 解析的插件使用。在某些受影响版本中,当输入模式包含多个转义字符时,switch case '[' 可能会出现多次溢出。处理嵌套括号时,添加的斜杠在输出模式中留下的空…
code-projects Crud Operation System add.php cross site scripting (CVE-2024-11820) CVE编号 CVE-2024-11820 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 在 code-projects Crud Operation System 1.0 中发现了一个被分类为问题性的漏洞。这个问题影响了未知的文件处理过程 /add.php。对参数 saddress 的操纵会导致跨站脚本攻击。攻击可能远程发起…
CVE
CVE-2024-5921丨GlobalProtect App: Insufficient Certificate Validation Leads to Privilege Escalation
GlobalProtect App: Insufficient Certificate Validation Leads to Privilege Escalation (CVE-2024-5921) CVE编号 CVE-2024-5921 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Palo Alto Networks GlobalProtect 应用存在认证验证不足的问题,这使得攻击者能够将 GlobalProtect 应用连接到任意服务器。这可能会使本地非管理员操作系统的用户或…
eNMS TGZ 文件 controller.py multiselect_filtering 路径遍历 (CVE-2024-11664) CVE编号 CVE-2024-11664 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 在eNMS的TGZ文件处理器组件中,存在一个被归类为关键的漏洞。该漏洞影响位于eNMS/controller.py文件中的multiselect_filtering功能,可能导致路径遍历问题。攻击者可能远程发起攻击。该漏洞已被公开披露并可被利用。补丁的版本号为2…
框架信息泄露漏洞(CVE-2020-12491) CVE编号 CVE-2020-12491 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 框架服务权限控制不当,可能导致某些敏感设备信息泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.vivo.com/en/support/security-advisory-detail?id=11
Framework Services 中的 Wifi 信息获取漏洞(CVE-2020-12492) CVE编号 CVE-2020-12492 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 框架服务对WiFi信息的处理不当可能会让某些恶意应用获得敏感信息。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.vivo.com/en/support/security-advisory-detail?id=12
libjxl 中的越界内存读/写 (CVE-2024-11403) CVE编号 CVE-2024-11403 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 在LibJXL版本低于提交号9cc451b91b74ba470fd72bd48c121e9f33d24c99中存在越界读写漏洞。JPEG XL编码器在处理JPEG重新压缩时使用的JPEG解码器(即在处理不受信任输入时使用JxlEncoderAddJPEGFrame)在不完整的代码存在时未能正确检查边界,这可能导致越界写入。在同一项目…
libjxl 中的堆栈溢出导致资源耗尽(CVE-2024-11498) CVE编号 CVE-2024-11498 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 存在libjxl中的堆栈缓冲区溢出漏洞。一个精心制作的文件可能导致JPEG XL解码器使用大量的堆栈空间(最多可能达到256mb,甚至可能达到512mb),从而耗尽堆栈。攻击者可以制作一个文件,导致过多的内存使用。我们建议您升级到提交版本65fbec56bc578b6b6ee02a527be70787bbd053b0之后的版本。…
MLflow 中目录权限过多导致使用 spark_udf 时本地权限提升(CVE-2024-27134) CVE编号 CVE-2024-27134 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-25 漏洞描述 MLflow中的目录权限过大,在使用spark_udf时会导致本地权限提升。这种行为可能被本地攻击者利用,通过利用Time-of-Check to Time-of-Use(ToCToU)攻击来获得更高的权限。这个问题仅在调用spark_udf() MLflow API时才会出现。 解决建议 "将…
IBM Jazz Foundation 访问控制不当(CVE-2023-26280) CVE编号 CVE-2023-26280 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 IBM Jazz Foundation 7.0.2 和 7.0.3 版本存在访问控制不当的问题,可能导致用户能够通过精心制作的 HTTP 请求更改其仪表板。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.ibm.com/support/pages/node/717…
IBM Jazz Foundation 跨站点脚本(CVE-2023-45181) CVE编号 CVE-2023-45181 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 IBM Jazz Foundation 7.0.2及以下版本存在跨站脚本漏洞。该漏洞允许用户在Web UI中嵌入任意JavaScript代码,从而改变预期的功能,可能导致在受信任会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.ibm.com/supp…
macOS Sensei Mac Cleaner 通过 PID 重用进行本地权限提升 - 竞争条件攻击 (CVE-2024-7915) CVE编号 CVE-2024-7915 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Sensei Mac Cleaner应用程序存在一个本地权限提升漏洞,攻击者可利用该漏洞以root用户的身份执行多项操作。这些操作包括任意文件的删除和写入、加载和卸载守护进程、操作文件权限以及加载扩展等。漏洞存在于org.cindori.SenseiHelper模块中…
macOS 通用音频 (UAConnect) <= 2.7.0 — 本地权限提升 (CVE-2024-8272) CVE编号 CVE-2024-8272 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 com.uaudio.bsd.helper服务负责处理特权操作,但在XPC进程间通信(IPC)期间未能实现关键客户端验证。具体来说,该服务没有验证尝试建立连接的客户端的代码要求、权限或安全标志。缺乏适当的验证允许未经授权的客户端利用该服务的方法并提升特权至root。 解决建议 建议您…
deno_doc HTML 生成器中网页生成期间输入中和不当(“跨站点脚本”)(CVE-2024-32468) CVE编号 CVE-2024-32468 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Deno 是一个用 Rust 编写的 JavaScript 和 TypeScript 运行时环境。在 `deno_doc` 组件中存在多个跨站脚本漏洞(Cross-Site Scripting Vulnerability),这些漏洞会导致在 deno doc --html 中出现自我跨站脚…
管理控制台中的漏洞影响 BlackBerry AtHoc (CVE-2024-51723) CVE编号 CVE-2024-51723 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 BlackBerry AtHoc版本7.15的管理控制台中存在存储式跨站脚本(XSS)漏洞,攻击者可利用此漏洞在受害者的会话环境中执行潜在操作。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://support.blackberry.com/pkb/s/article/…