Digital Guardian Windows Agent 8.2.0 之前的版本中的 USB 安全功能绕过 (CVE-2024-3334) CVE编号 CVE-2024-3334 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 Digital Guardian Windows Agent的Removable Media Encryption(RME)组件存在绕过漏洞,版本低于8.2.0。允许用户通过修改USB设备的元数据绕过加密控制,从而危及存储数据的机密性。 解决建议 建议您更新当…
GLPI 在 /front/stat.graph.php 中存在反射型 XSS(CVE-2024-45609) CVE编号 CVE-2024-45609 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一款免费的资产和IT管理软件套件,用于数据中心管理、ITIL服务台、许可证跟踪和软件审计。未经身份验证的用户可以向GLPI技术人员提供一个恶意链接,以利用报告页面中的反射XSS漏洞。建议升级到10.0.17版本。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考…
试听 | 越界读取 (CWE-125) (CVE-2024-49536) CVE编号 CVE-2024-49536 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 Audition版本23.6.9、24.4.6及更早版本存在一个越界读取漏洞,可能导致敏感内存泄露。攻击者可以利用此漏洞绕过诸如ASLR之类的缓解措施。利用此问题需要进行用户交互,即受害者必须打开恶意文件。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://helpx.adobe.com…
Oauth-server-container:oauth-server-container 在调试级别记录客户端机密(CVE-2024-11217) CVE编号 CVE-2024-11217 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 在OAuth服务器中发现了一个漏洞。当日志级别设置为高于调试级别时,OAuth服务器在记录OpenID Connect、GitHub、GitLab或Google身份提供商登录选项时,会记录OAuth2客户端密钥。 解决建议 建议您更新当前系统或软件至最…
GLPI 在 ajax/cable.php 中存在反射型 XSS(CVE-2024-45610) CVE编号 CVE-2024-45610 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一款开源的资产和IT管理软件包,提供ITIL服务台功能、许可证跟踪和软件审计功能。未经身份验证的用户可以向GLPI技术人员提供一个恶意链接,以利用位于电缆表单中的反射XSS漏洞。建议升级到版本10.0.17。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https…
GLPI 在 src/RSSFeed.php 处存在存储型 XSS(CVE-2024-45611) CVE编号 CVE-2024-45611 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一个开源的资产和IT管理软件包,提供ITIL服务台功能、许可证跟踪和软件审计功能。经过身份验证的用户可以绕过访问控制策略,创建附加到其他用户帐户的私人RSS馈源,并使用恶意负载触发存储的跨站脚本攻击(XSS)。建议升级到版本10.0.17。 解决建议 建议您更新当前系统或软件至最新版,完成漏…
SourceCodester 学生记录管理系统学生人数菜单StudentRecordManagementSystem.cpp 内存损坏 (CVE-2024-11261) CVE编号 CVE-2024-11261 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 SourceCodester学生记录管理系统(版本1.0)中发现了一个被分类为关键的漏洞。受影响的是组件“学生数量菜单”中的StudentRecordManagementSystem.cpp文件的一个未知功能。操纵会导致内存损坏。本…
GLPI 允许无权限下载 API 文档(CVE-2024-38370) CVE编号 CVE-2024-38370 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一款免费的资产和IT管理软件包。在版本9.2.0至版本11.0.0之前,存在漏洞,用户可能在没有适当权限的情况下从API下载文档。建议升级到版本10.0.16以解决此漏洞。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/glpi-project/glpi…
Autodesk ADP Desktop SDK 权限提升漏洞 (CVE-2024-9500) CVE编号 CVE-2024-9500 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 恶意制作的DLL文件被放置在Autodesk安装程序使用的临时文件和文件夹中时,由于权限管理不安全,可能导致特权升级到NT AUTHORITY/SYSTEM。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.autodesk.com/trust/securi…
SourceCodester 学生记录管理系统查看所有学生分数主堆栈溢出 (CVE-2024-11262) CVE编号 CVE-2024-11262 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 SourceCodester学生记录管理系统(版本1.0)存在一个被分类为关键的漏洞。受影响的功能是“查看所有学生成绩”组件中的main函数。操纵该函数会导致基于堆栈的缓冲区溢出。有可能对本地主机发起攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修…
arch: riscv: 用户空间:CONFIG_RISCV_GP=y 时存在潜在安全风险(CVE-2024-11263) CVE编号 CVE-2024-11263 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 当全局指针(GP)相对寻址功能启用(CONFIG_RISCV_GP=y)时,gp寄存器指向.sdata段起始地址前的0x800字节位置,链接器使用该地址来放宽对全局符号的访问限制。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gith…
弹出框 - 创建倒计时、优惠券、视频、联系表单弹出窗口
CVE
CVE-2024-10015丨WordPress 的 ConvertCalculator <= 1.1.1 — 通过 id 和 type 参数进行身份验证 (Contributor+) 存储跨站点脚本
WordPress 的 ConvertCalculator
SimpleForm 联系表单提交 <= 2.1.0 - 反射式跨站点脚本 (CVE-2024-10884) CVE编号 CVE-2024-10884 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress的SimpleForm联系表格提交插件存在反射型跨站脚本攻击漏洞。该漏洞是由于在版本2.1.0及以前的所有版本中,使用add_query_arg和remove_query_arg函数处理URL时未进行适当的转义处理导致的。这使得未经验证的攻击者能够在页面中注入任意we…
WP Log Viewer <= 1.2.1 — 缺少授权(CVE-2024-11085) CVE编号 CVE-2024-11085 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress中的WP Log Viewer插件存在功能未经授权使用漏洞,该漏洞是由于所有版本(包括1.2.1版本)中的几个AJAX操作缺少功能检查造成的。这使得拥有订阅者级别及以上访问权限的认证攻击者能够访问日志、更新插件相关的用户设置和插件通用设置。 解决建议 建议您更新当前系统或软件至最新版,…
SVGPlus <= 1.1.0 - 通过 SVG 文件上传进行经过身份验证的 (Author+) 存储跨站点脚本 (CVE-2024-11092) CVE编号 CVE-2024-11092 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress的SVGPlus插件存在REST API SVG文件上传中的存储型跨站脚本漏洞,该漏洞存在于所有版本至包括1.1.0版本,原因是输入清理和输出转义不足。这使得拥有作者级别及以上访问权限的认证攻击者能够在用户访问SVG文件时在页面…
404 错误监视器 <= 1.1 - 通过 updatePluginSettings 函数跨站请求伪造到插件设置更新 (CVE-2024-11118) CVE编号 CVE-2024-11118 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress中的404错误监控插件在直至并包括1.1版本之前存在跨站请求伪造漏洞。这是由于updatePluginSettings()函数缺少或验证不正确导致的。这使得未经验证的攻击者能够通过伪造请求来更改插件设置并清除所有错误日志,只要…