Graylog 可通过并发 PDF 报告渲染泄露其他用户的报告（CVE-2024-52506） CVE编号 CVE-2024-52506 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Graylog是一个免费和开源的日志管理平台。其报告功能允许创建和调度报告，这些报告包含仪表板小部件，显示单个日志消息或由多个日志消息的字段聚合的指标。在Graylog 6.1.0和6.1.1版本中，此功能存在信息泄露漏洞，该漏洞由授权用户发起的多重并发报告渲染请求触发。当在同一时间请求多个报告渲染时，用…

WesHacks 代码包含指向 Leostop 跟踪间谍软件感染文件的链接 (CVE-2024-52583) CVE编号 CVE-2024-52583 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 WesHacks GitHub仓库提供了MuweilahWesgreen黑客马拉松官方比赛网站的源代码。在2024年11月17日之前或提交到93dfb83的`schedule.html`页面包含链接到Leostop网站的链接，该网站运行时会注入恶意JavaScript文件以及jquery。L…

Autolab存在易受攻击的提交端点(CVE-2024-52584) CVE编号 CVE-2024-52584 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Autolab是一个课程管理服务，能够自动进行编程作业评分。在版本3.0.1中存在一个漏洞，课程管理员（CAs）可以查看或编辑任何提交记录的分数，即使他们不是提交记录所在班级的课程管理员。终端只对课程管理员的授权级别进行检查，而并不一定是提交记录所关联的班级。版本3.0.2已经对此漏洞进行了修复。目前尚无已知的解决方案可用。 解决…

Autolab存在HTML注入漏洞(CVE-2024-52585) CVE编号 CVE-2024-52585 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Autolab是一个课程管理服务，它支持自动分级的编程任务分配。在版本3.0.1中存在一个HTML注入漏洞，可能会影响教师在成绩提交页面上的评分和课程助理。这个问题已在版本3.0.2中得到修复。可以通过手动编辑`gradesheet.js.erb`文件的第589行来应用补丁，以将反馈视为文本而不是HTML。 解决建议 建议您更新当前…

Google for WooCommerce <= 2.8.6 - 通过可公开访问的 PHP 信息文件披露信息 (CVE-2024-10486) CVE编号 CVE-2024-10486 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 WordPress WooCommerce插件的Google组件在直至并包括2.8.6版本中都存在信息泄露漏洞。这是由于存在可公开访问的print_php_information.php文件导致的。这使得未经身份验证的攻击者可以检索有关Web服务器和…

WordPress OS Our Team 插件 <= 1.7 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52341) CVE编号 CVE-2024-52341 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在Offshorent Solutions Pvt Ltd开发的Jinesh.P.V OS Our Team中存在网页生成过程中输入未适当中和的问题（XSS或跨站脚本漏洞）。这个问题影响了OS Our Team的版本从不适用到1.7。该漏洞允许存储型XSS攻击。 …

WordPress OS BXSlider 插件 <= 2.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52342) CVE编号 CVE-2024-52342 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Offshorent Solutions Pvt Ltd开发的Jinesh.P.V OS BXSlider存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞。这个问题影响了OS BXSlider的版本从不适用到2.6。允许存储式跨站脚本攻击（Stored…

WordPress OS 定价表插件 <= 1.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52343) CVE编号 CVE-2024-52343 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Offshorent Softwares Pvt. Ltd.开发的Jinesh.P.V OS定价表存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许存储跨站脚本攻击。这个问题影响OS定价表的版本从n/a至1.2。 解决建议 建议您更新当前系统或软件至最新版，完…

WordPress 提供外汇信号插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52344) CVE编号 CVE-2024-52344 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Muhammad Junaid提供的外汇信号存在网页生成过程中输入未适当中和（XSS或跨站脚本）漏洞，允许存储跨站脚本攻击。这个问题影响的是从未知版本至1.0版本的提供外汇信号功能。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://p…

WordPress ra_qrcode 插件 <= 2.1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52345) CVE编号 CVE-2024-52345 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（Roberto Alicata的ra_qrcode存在跨站脚本（XSS）漏洞），允许存储跨站脚本攻击。这个问题影响的是从未知版本到2.1.0版本的ra_qrcode。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参…

WordPress SimpleGMaps 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52346) CVE编号 CVE-2024-52346 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Javier Méndez Veira的SimpleGMaps存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许存储跨站脚本攻击。这个问题影响SimpleGMaps的版本从n/a到1.0。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复…

WordPress 网站远程安装 Gravity、WPForms、Formidable、Ninja、Caldera 插件 <= 4.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52347) CVE编号 CVE-2024-52347 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（存在跨站脚本攻击（XSS）漏洞）的WP网站创建者网站远程安装vor Gravity、WPForms、Formidable、Ninja、Caldera存在存储式跨…

WordPress AA 音频播放器插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52348) CVE编号 CVE-2024-52348 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致跨站脚本（XSS）漏洞存在于aaextension AA音频播放器中，允许基于DOM的跨站脚本攻击。这个问题影响的是AA音频播放器版本从不适用到1.0。 解决建议 建议您更新当前系统或软件至最新…

WordPress Awesome Tool Tip 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52349) CVE编号 CVE-2024-52349 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（Md. Shiddikur Rahman Awesome Tool Tip中的跨站脚本（XSS）漏洞）允许基于DOM的跨站脚本攻击。这个问题影响到了Awesome Tool Tip的版本从不适用到1.0。 解决建议 建议您…

WordPress WP Job Portal 插件 <= 2.2.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52389) CVE编号 CVE-2024-52389 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Web页面生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞存在于WP Job Portal中，允许存储XSS。这个问题影响WP Job Portal的版本从不适用到2.2.0。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  …

WordPress CYAN Backup 插件 <= 2.5.3 - 任意文件下载漏洞 (CVE-2024-52390) CVE编号 CVE-2024-52390 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 CYAN Backup中存在路径遍历漏洞（Path Traversal），攻击者可以通过使用 '.../...//' 等特殊字符序列来访问应用程序不应允许访问的文件或目录。此问题影响CYAN Backup的版本从不适用到2.5.3。 解决建议 建议您更新当前系统或软件至最…

WordPress Print PDF Generator 和 Publisher 插件 <= 1.1.6 - 存储型跨站点脚本 (XSS) 漏洞 (CVE-2024-52394) CVE编号 CVE-2024-52394 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在生成网页时未正确处理输入（XSS或跨站脚本攻击漏洞）存在于nopea.Media Print PDF Generator和Publisher中，允许存储式跨站脚本攻击。此问题影响Print PDF Generat…

WordPress ReConstruction 主题 <= 1.4.7 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-52417) CVE编号 CVE-2024-52417 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 BoldThemes ReConstruction中存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许反射型跨站脚本攻击（Reflected XSS）。此问题影响版本从不适用到1.4.7的ReConstruction。 解决建议 建议…

WordPress Gameplan 主题 <= 1.5.10 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-52418) CVE编号 CVE-2024-52418 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在生成网页时未正确处理输入（XSS或跨站脚本攻击漏洞）的CactusThemes Gameplan存在反射型跨站脚本攻击（XSS）漏洞。这个问题影响Gameplan的版本从不适用到1.5.10。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参…

Harden-Runner 在“setup.ts”和“arc-runner.ts”中存在命令注入漏洞（CVE-2024-52587） CVE编号 CVE-2024-52587 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 StepSecurity的Harden-Runner为GitHub托管和自托管运行器提供网络出口过滤和运行时安全。在v2.10.2之前的step-security/harden-runner版本中存在多个通过环境变量进行命令注入的弱点，这些弱点在特定条件下可能会被利用…

WordPress Stylish Internal Links plugin <= 1.9 - Cross Site Scripting (XSS) vulnerability (CVE-2024-51939) CVE编号 CVE-2024-51939 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致出现了跨站脚本（XSS）漏洞。在Santhosh veer Stylish Internal Links…

WordPress WP Responsive Video plugin <= 1.0 - Cross Site Scripting (XSS) vulnerability (CVE-2024-51940) CVE编号 CVE-2024-51940 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（XSS或跨站脚本攻击漏洞）存在于sohelwpexpert的WP响应式视频插件中，它允许基于DOM的跨站脚本攻击。此问题影响版本为WP响应式视频插件的未知版…

WordPress Mage Front End Forms plugin <= 1.1.4 - Cross Site Scripting (XSS) vulnerability (CVE-2024-52339) CVE编号 CVE-2024-52339 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致Mage Cast Mage前端表单（Mage Front End Forms）存在跨站脚本（Cross…

WordPress Photographer Connections plugin <= 1.3.1 - Cross Site Scripting (XSS) vulnerability (CVE-2024-52340) CVE编号 CVE-2024-52340 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在Marty Thornley摄影师连接中存在不当的中立输入问题，导致网页生成时出现跨站脚本（XSS）漏洞，允许存储跨站脚本攻击。此问题影响摄影师连接版本从不适用到1.3.1…

code-projects Farmacia fornecedores.php 跨站点脚本 (CVE-2024-11259) CVE编号 CVE-2024-11259 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 在 code-projects Farmacia 1.0 中发现了一个被分类为问题性的漏洞。这个问题影响了未知的文件 /fornecedores.php 的处理过程。操纵过程会导致跨站脚本攻击。攻击可能远程发起。该漏洞已被公开披露并可能被利用。 解决建议 建议您更新当前系统或…