AbsysNet 中的 IDOR 漏洞(CVE-2024-11318) CVE编号 CVE-2024-11318 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 AbsysNet 2.3.1版本中发现了一个IDOR(不安全的直接对象引用)漏洞。远程攻击者可能通过暴力攻击位于"/cgi-bin/ocap/"端点的会话标识符,获取未经身份验证的用户的会话信息。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.incibe.es/en/inci…
TR7 应用安全平台 (ASP) 中的容器逃逸漏洞 (CVE-2024-8781) CVE编号 CVE-2024-8781 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 在TR7应用安全平台(ASP)中,存在执行不必要权限和替代路径保护不当的漏洞,这可能导致权限提升和滥用权限的问题。这个问题影响了应用安全平台(ASP)的版本为v1.4.25.188。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.usom.gov.tr/bildiri…
Kubeflow 管道视图中的存储型 XSS(CVE-2024-9526) CVE编号 CVE-2024-9526 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 存在一个存在于Kubeflow Pipeline View Web UI中的存储型跨站脚本(XSS)漏洞。Kubeflow Web UI允许创建新的流水线。在创建新的流水线时,可以添加描述。描述字段允许HTML标签,但并未得到适当的过滤,这可能导致存储型XSS攻击。我们建议您升级到提交930c35f1c543998e60e8d…
多个存储的跨站点脚本(CVE-2024-11304) CVE编号 CVE-2024-11304 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 SEH Computertechnik的utnserver Pro、utnserver ProMAX和INU-100的web界面缺少输入验证,这可能导致存储的跨站脚本(XSS)攻击。这个问题影响utnserver Pro、utnserver ProMAX和INU-100的20.1.22及以下版本。 解决建议 建议您更新当前系统或软件至最新版,完成…
OpenCTI 可能绕过自省限制 (CVE-2024-37155) CVE编号 CVE-2024-37155 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 OpenCTI是一个开源平台,允许组织管理他们的网络威胁情报知识和观测数据。在版本6.1.9之前,用于防止Introspection查询的正则表达式验证可以通过从查询中删除额外的空格、回车和换行字符来绕过。OpenCTI中的GraphQL查询可以使用`secureIntrospectionPlugin`进行验证。通过删除回车和换行字…
WordPress Event Tickets 和 Ticket Scanner 插件 <= 2.3.11 - 远程代码执行 (RCE) 漏洞 (CVE-2024-52427) CVE编号 CVE-2024-52427 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Saso Nikolov活动票务系统中的模板引擎存在特殊元素未适当处理漏洞,该漏洞允许服务器端包含(SSI)注入攻击。此问题影响Ticket Scanner活动票务系统的版本从不适用到2.3.11。 解决建议 建议您更…
WordPress Ads Booster by Ads Pro 插件 <= 1.12 - 本地文件包含漏洞 (CVE-2024-52428) CVE编号 CVE-2024-52428 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Scripteo Ads Booster插件中的PHP程序存在包含/引入语句的文件名控制不当的问题(即“PHP远程文件包含”漏洞),允许PHP本地文件包含。这个问题影响了从未知版本到1.12的Ads Booster插件。 解决建议 建议您更新当前系统或…
WordPress WP Quick Setup 插件 <= 2.0 - 任意插件和主题安装导致远程代码执行漏洞 (CVE-2024-52429) CVE编号 CVE-2024-52429 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Anton Hoelstad的WP Quick Setup存在漏洞,允许上传危险类型的文件,该漏洞允许用户上传Web Shell到Web服务器。这个问题影响的是WP Quick Setup的版本从不适用到2.0。 解决建议 建议您更新当前系统或软件…
WordPress Lis 视频库插件 <= 0.2.1 - PHP 对象注入漏洞 (CVE-2024-52430) CVE编号 CVE-2024-52430 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 LisLis视频库的漏洞允许不可信数据的反序列化,导致对象注入漏洞。这个问题影响版本从不适用到0.2.1的Lis视频库。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/vulnerabi…
WordPress WP Video Robot 插件 <= 1.20.0 - SQL 注入漏洞 (CVE-2024-52431) CVE编号 CVE-2024-52431 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Pressaholic WordPress视频机器人中的特殊元素未适当中和(Neutralization)导致SQL命令注入漏洞。该漏洞允许SQL注入攻击。这个问题影响了WordPress视频机器人:从不适用到版本1.20.0。 解决建议 建议您更新当前系统或软件…
WordPress NIX Anti-Spam Light 插件 <= 0.0.4 - PHP 对象注入漏洞 (CVE-2024-52432) CVE编号 CVE-2024-52432 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 NIX Solutions Ltd的NIX Anti-Spam Light存在不信任数据反序列化漏洞,允许对象注入。这个问题影响NIX Anti-Spam Light的版本从不适用到0.0.4。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修…
WordPress My Geo Posts Free 插件 <= 1.2 - PHP 对象注入漏洞 (CVE-2024-52433) CVE编号 CVE-2024-52433 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Mindstien Technologies的My Geo Posts Free存在不信任数据的反序列化漏洞,允许对象注入。这个问题影响My Geo Posts Free的版本从n/a到1.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参…
WordPress Popup by Supsystic 插件 <= 1.10.29 - 远程代码执行 (RCE) 漏洞 (CVE-2024-52434) CVE编号 CVE-2024-52434 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Supsystic Popup中的模板引擎使用了特殊元素不当处理漏洞,导致命令注入漏洞。这个问题影响到了Supsystic Popup的版本从不适用到1.10.29。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 …
WordPress Premium Packages – 安全销售数字产品插件 <= 5.9.3 - SQL 注入漏洞 (CVE-2024-52435) CVE编号 CVE-2024-52435 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 W3 Eden公司的高端软件包中存在SQL命令中使用的特殊元素未适当中和(SQL注入)漏洞。这个问题影响从不适用至5.9.3版本的高端软件包。允许SQL注入攻击。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 ht…
WordPress Post SMTP 插件 <= 2.9.9 - SQL 注入漏洞 (CVE-2024-52436) CVE编号 CVE-2024-52436 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-18 漏洞描述 Post SMTP中存在一个特殊的SQL命令中的特殊元素未适当处理(SQL注入)漏洞,允许盲SQL注入攻击。这个问题影响Post SMTP的版本从不适用到2.9.9。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstac…
Cisco?Integrated Management Controller 安全漏洞(CVE-2020-26062) CVE编号 CVE-2020-26062 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco?Integrated Management Controller(IMC)是美国思科(Cisco)公司的一个用于服务器管理监控的集成管理软件。 Cisco Integrated Management Controller 存在安全漏洞,该漏洞使攻击者通过枚举的方式易于发…
Cisco?Integrated Management Controller 授权问题漏洞(CVE-2020-26063) CVE编号 CVE-2020-26063 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco?Integrated Management Controller(IMC)是美国思科(Cisco)公司的一个用于服务器管理监控的集成管理软件。 Cisco Integrated Management Controller中的API endpoints存在授权问题漏洞…
Cisco SD-WAN vEdge 路径遍历漏洞(CVE-2020-26071) CVE编号 CVE-2020-26071 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco SD-WAN vEdge是美国思科(Cisco)公司的是一款路由器。该设备可为思科SD-WAN解决方案提供基本WAN,安全性和多云功能。 Cisco SD-WAN 中存在安全漏洞。攻击者可以通过Cisco SD-WAN vEdge的CLI文件创建触发致命错误,进而触发拒绝服务。 解决建议 建议您更新当前系…
Cisco?SD-WAN vManage 授权问题漏洞(CVE-2020-26074) CVE编号 CVE-2020-26074 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco?SD-WAN vManage是美国思科(Cisco)公司的一款可提供软件定义网络功能的软件。该软件为网络虚拟化的一种方式。 Cisco SD-WAN vManage Software system file transfer functions 存在授权问题漏洞,成功的利用可以允许攻击者覆盖任意文件,…
Cisco ASA Software 安全漏洞(CVE-2020-27124) CVE编号 CVE-2020-27124 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco ASA是美国思科(Cisco)公司的一系列应用于企业安全的防火墙。 Cisco ASA Software 存在安全漏洞,攻击者可利用该漏洞触发致命错误,以触发拒绝服务。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://sec.cloudapps.cisco.com/s…
Cisco RV042 Dual WAN VPN Router和RV042G Dual Gigabit WAN VPN Router 跨站脚本漏洞(CVE-2020-3431) CVE编号 CVE-2020-3431 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco RV042 Dual WAN VPN Router和RV042G Dual Gigabit WAN VPN Router都是美国思科(Cisco)公司的一款VPN(虚拟专用网络)路由器。 Cisco Small B…
Cisco Identity Services Engine 信息泄露漏洞(CVE-2020-3525) CVE编号 CVE-2020-3525 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco Identity Services Engine(ISE)是美国思科(Cisco)公司的一款基于身份的环境感知平台(ISE身份服务引擎)。该平台通过收集网络、用户和设备中的实时信息,制定并实施相应策略来监管网络。 Cisco?Identity Services Engine (ISE)…
多款Cisco产品跨站脚本漏洞(CVE-2020-3532) CVE编号 CVE-2020-3532 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco Unity Connection(UC)等都是美国思科(Cisco)公司的产品。Cisco Unity Connection是一套语音留言平台。Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是一款统一通信系统中的呼叫处理组件。Unified Co…
Cisco Data Center Network Manager REST API端点输入验证错误漏洞(CVE-2020-3538) CVE编号 CVE-2020-3538 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco Data Center Network Manager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列交换机,提供存储可视化、配置和故障排除等功能。 Cisco DCNM 11.4(1)之前版本…
Cisco Data Center Network Manager 授权问题漏洞(CVE-2020-3539) CVE编号 CVE-2020-3539 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Cisco Data Center Network Manager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列交换机,提供存储可视化、配置和故障排除等功能。 Cisco DCNM 11.4(1)之前版本中的Web管理接口存在授…