CVE - CVE漏洞中文网

WordPress BasePress 迁移工具插件 <= 1.0.0 - 任意文件上传漏洞 (CVE-2024-52407) CVE编号 CVE-2024-52407 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述在codeSavory BasePress迁移工具中存在一个漏洞，即未受限制的危险文件上传漏洞。这使得攻击者可以上传Web Shell到Web服务器。这个问题影响BasePress迁移工具的所有版本，从不适用版本到版本1.0.0。解决建议建议您更新当前系统或软件至…

2024年11月18日 0条评论 188点热度 0人点赞小助手阅读全文

WordPress Push Notifications for WordPress by PushAssist 插件 <= 3.0.8 - 任意文件上传漏洞 (CVE-2024-52408) CVE编号 CVE-2024-52408 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 PushAssist的WordPress推送通知中存在危险文件类型无限制上传漏洞，允许上传Web Shell到Web服务器。这个问题影响PushAssist的WordPress推送通知版本从不适用到3.…

2024年11月18日 0条评论 168点热度 0人点赞小助手阅读全文

WordPress AJAX Random Posts 插件 <= 0.3.3 - PHP 对象注入漏洞 (CVE-2024-52409) CVE编号 CVE-2024-52409 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Phan的AJAX随机帖子存在不信任数据的反序列化漏洞，允许对象注入。这个问题影响AJAX随机帖子的版本从不适用到0.3.3。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.com/data…

2024年11月18日 0条评论 178点热度 0人点赞小助手阅读全文

WordPress Referrer Detector 插件 <= 4.2.1.0 - PHP 对象注入漏洞 (CVE-2024-52410) CVE编号 CVE-2024-52410 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Phoenixheart Referrer Detector存在不信任数据反序列化漏洞，允许对象注入。此问题影响Referrer Detector的版本从不适用到4.2.1.0。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 …

2024年11月18日 0条评论 160点热度 0人点赞小助手阅读全文

WP Time Capsule <= 1.22.21 的备份和暂存 - 未经身份验证的任意文件上传 (CVE-2024-8856) CVE编号 CVE-2024-8856 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WP Time Capsule插件的备份和暂存功能存在任意文件上传漏洞，该漏洞出现在UploadHandler.php文件中缺少文件类型验证，且在所有版本（包括1.22.21版本）中都没有直接文件访问的防护措施。这使得未经身份验证的攻击者能够在受影响网站的服务器上上…

2024年11月18日 0条评论 162点热度 0人点赞小助手阅读全文

WooCommerce <= 5.61.0 的客户评论 - 缺少经过身份验证的 (Subscriber+) 导入取消授权 (CVE-2024-10614) CVE编号 CVE-2024-10614 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress的WooCommerce插件的客户评论功能存在未经授权的访问漏洞，该漏洞是由于cancel_import()函数中缺少能力检查，影响所有版本直至并包括5.61.0。这使得具有订阅者级别及以上访问权限的认证攻击者能够取消、导…

2024年11月18日 0条评论 170点热度 0人点赞小助手阅读全文

Blogger 301 重定向 <= 2.5.3 - 通过 br 进行未经身份验证的 SQL 注入 (CVE-2024-10645) CVE编号 CVE-2024-10645 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress的Blogger 301 Redirect插件在直至并包括2.5.3的所有版本中，由于对用户提供的参数缺乏足够的转义以及对现有SQL查询的预处理不足，存在基于时间的盲SQL注入漏洞。该漏洞可以通过“br”参数进行利用，使得未经身份验证的攻击者能…

2024年11月18日 0条评论 174点热度 0人点赞小助手阅读全文

Mapster WP Maps <= 1.6.0 - 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-10592) CVE编号 CVE-2024-10592 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 Mapster WP Maps插件存在存储型跨站脚本漏洞（Stored Cross-Site Scripting），该漏洞存在于所有版本（包括1.6.0版本）的弹出窗口类参数中，由于输入清理和输出转义不足导致。这使得拥有贡献者级别及以上访问权限的…

2024年11月18日 0条评论 180点热度 0人点赞小助手阅读全文

404 解决方案 <= 2.35.17 - 缺少身份验证导致敏感信息泄露 (CVE-2024-11094) CVE编号 CVE-2024-11094 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress的“The 404 Solution”插件在包括2.35.17版本在内的所有版本中，通过导出功能存在敏感信息泄露漏洞。这使得未经身份验证的攻击者能够提取敏感数据，例如包含GET参数的跳转信息，可能会泄露敏感信息。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修…

2024年11月18日 0条评论 192点热度 0人点赞小助手阅读全文

使用 WordPress 用户登录（WP 作为 SAML IDP）<= 1.15.6 - 经过身份验证（管理员+）SQL 注入（CVE-2024-9887） CVE编号 CVE-2024-9887 利用情况暂无补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress中的“使用WordPress用户登录（WP作为SAML IDP）”插件存在基于时间的SQL注入漏洞，该漏洞存在于所有版本，包括最高版本1.15.6在内。这是由于对用户提供的参数逃逸不足以及对现有SQL查询的预备不足导致的。…

2024年11月18日 0条评论 180点热度 0人点赞小助手阅读全文

WordPress 分类列表插件 <= 3.1.15.1 - 本地文件包含漏洞 (CVE-2024-52386) CVE编号 CVE-2024-52386 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述在业务目录团队开发的RadiusTheme分类列表（classified-listing）中，存在一个PHP程序中的包含/引入语句的文件名控制不当的漏洞（即PHP远程文件包含）。这个问题允许PHP本地文件包含，影响版本从不适用到3.1.15.1的Classified Listing…

2024年11月18日 0条评论 164点热度 0人点赞小助手阅读全文

WordPress CDI 插件 <= 5.5.3 - 任意文件上传漏洞 (CVE-2024-52398) CVE编号 CVE-2024-52398 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Halyra CDI存在危险类型文件无限制上传漏洞，该问题影响版本从不适用至5.5.3。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.com/database/vulnerability/collect-and-deli…

2024年11月18日 0条评论 174点热度 0人点赞小助手阅读全文

WordPress Writer Helper 插件 <= 3.1.6 - 任意文件上传漏洞 (CVE-2024-52399) CVE编号 CVE-2024-52399 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Clarisse K Writer Helper存在危险文件类型无限制上传漏洞，允许上传Web Shell到Web服务器。这个问题影响Writer Helper的版本从不适用到3.1.6。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 ht…

2024年11月18日 0条评论 166点热度 0人点赞小助手阅读全文

WordPress Gallerio 插件 <= 1.01 - 任意文件上传漏洞 (CVE-2024-52400) CVE编号 CVE-2024-52400 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Subhasis Laha Gallerio存在一个漏洞，允许上传危险类型的文件，并且没有对上传的文件类型进行任何限制，导致可以上传Web Shell到Web服务器。这个问题影响Gallerio的版本从不适用到1.01。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复…

2024年11月18日 0条评论 182点热度 0人点赞小助手阅读全文

WordPress 用户管理插件 <= 1.1 - 任意文件上传漏洞 (CVE-2024-52403) CVE编号 CVE-2024-52403 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 WPExperts用户管理存在危险文件类型无限制上传漏洞，允许将WebShell上传到Web服务器。这个问题影响用户管理版本从不适用到1.1。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.com/database/vulne…

2024年11月18日 0条评论 192点热度 0人点赞小助手阅读全文

WordPress CF7 Reply Manager 插件 <= 1.2.3 - 任意文件上传漏洞 (CVE-2024-52404) CVE编号 CVE-2024-52404 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Bigfive CF7 Reply Manager存在危险文件上传漏洞。此问题影响CF7 Reply Manager的版本从不适用至1.2.3。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.c…

2024年11月18日 0条评论 138点热度 0人点赞小助手阅读全文

WordPress B-Banner Slider 插件 <= 1.1 - 任意文件上传漏洞 (CVE-2024-52405) CVE编号 CVE-2024-52405 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Bikram Joshi B-Banner Slider中存在危险文件类型无限制上传漏洞，允许将Web Shell上传到Web服务器。这个问题影响B-Banner Slider版本从不适用到1.1。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链…

2024年11月18日 0条评论 180点热度 0人点赞小助手阅读全文

WordPress CSV 到 html 插件 <= 3.04 - 任意文件上传漏洞 (CVE-2024-52406) CVE编号 CVE-2024-52406 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Wibergs Web CSV转html存在未受限制的危险文件上传漏洞，允许将Web Shell上传到Web服务器。这个问题影响CSV转html的版本从不适用到3.04。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchst…

2024年11月18日 0条评论 172点热度 0人点赞小助手阅读全文

2024年11月18日 0条评论 152点热度 0人点赞小助手阅读全文

WordPress 高级个性化插件 <= 1.1.2 - PHP 对象注入漏洞 (CVE-2024-52411) CVE编号 CVE-2024-52411 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Flowcraft UX Design Studio的高级个性化功能中存在一个不信任数据的反序列化漏洞，该漏洞允许对象注入。这个问题影响Advanced Personalization版本从不适用到1.1.2。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接…

2024年11月18日 0条评论 184点热度 0人点赞小助手阅读全文

WordPress Xin 主题 <= 1.0.8.1 - PHP 对象注入漏洞 (CVE-2024-52412) CVE编号 CVE-2024-52412 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 Stephen Cui Xin存在不信任数据反序列化漏洞，允许对象注入。这个问题影响版本从未知至1.0.8.1的Xin。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.com/database/vulnerabil…

2024年11月18日 0条评论 184点热度 0人点赞小助手阅读全文

WordPress Airin 博客主题 <= 1.6.1 - PHP 对象注入漏洞 (CVE-2024-52413) CVE编号 CVE-2024-52413 利用情况暂无补丁情况 N/A 披露时间 2024-11-17 漏洞描述 DMC Airin Blog中存在不信任数据的反序列化漏洞，允许对象注入。这个问题影响Airin Blog的版本从n/a到1.6.1。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://patchstack.com/database/v…

2024年11月18日 0条评论 170点热度 0人点赞小助手阅读全文

1…33 343536 37…184

CVE-2024-52407丨WordPress BasePress 迁移工具插件 <= 1.0.0 - 任意文件上传漏洞

CVE-2024-52408丨WordPress Push Notifications for WordPress by PushAssist 插件 <= 3.0.8 - 任意文件上传漏洞

CVE-2024-52409丨WordPress AJAX Random Posts 插件 <= 0.3.3 - PHP 对象注入漏洞

CVE-2024-52410丨WordPress Referrer Detector 插件 <= 4.2.1.0 - PHP 对象注入漏洞

CVE-2024-8856丨WP Time Capsule <= 1.22.21 的备份和暂存 - 未经身份验证的任意文件上传

CVE-2024-10614丨WooCommerce <= 5.61.0 的客户评论 - 缺少经过身份验证的 (Subscriber+) 导入取消授权

CVE-2024-10645丨Blogger 301 重定向 <= 2.5.3 - 通过 br 进行未经身份验证的 SQL 注入

CVE-2024-10592丨Mapster WP Maps <= 1.6.0 - 经过身份验证 (Contributor+) 存储的跨站点脚本

CVE-2024-11094丨404 解决方案 <= 2.35.17 - 缺少身份验证导致敏感信息泄露

CVE-2024-9887丨使用 WordPress 用户登录（WP 作为 SAML IDP）<= 1.15.6 - 经过身份验证（管理员+）SQL 注入

CVE-2024-52386丨WordPress 分类列表插件 <= 3.1.15.1 - 本地文件包含漏洞

CVE-2024-52398丨WordPress CDI 插件 <= 5.5.3 - 任意文件上传漏洞

CVE-2024-52399丨WordPress Writer Helper 插件 <= 3.1.6 - 任意文件上传漏洞

CVE-2024-52400丨WordPress Gallerio 插件 <= 1.01 - 任意文件上传漏洞

CVE-2024-52403丨WordPress 用户管理插件 <= 1.1 - 任意文件上传漏洞

CVE-2024-52404丨WordPress CF7 Reply Manager 插件 <= 1.2.3 - 任意文件上传漏洞

CVE-2024-52405丨WordPress B-Banner Slider 插件 <= 1.1 - 任意文件上传漏洞

CVE-2024-52406丨WordPress CSV 到 html 插件 <= 3.04 - 任意文件上传漏洞

CVE-2024-52407丨WordPress BasePress 迁移工具插件 <= 1.0.0 - 任意文件上传漏洞

CVE-2024-52408丨WordPress Push Notifications for WordPress by PushAssist 插件 <= 3.0.8 - 任意文件上传漏洞

CVE-2024-52409丨WordPress AJAX Random Posts 插件 <= 0.3.3 - PHP 对象注入漏洞

CVE-2024-52410丨WordPress Referrer Detector 插件 <= 4.2.1.0 - PHP 对象注入漏洞

CVE-2024-52411丨WordPress 高级个性化插件 <= 1.1.2 - PHP 对象注入漏洞

CVE-2024-52412丨WordPress Xin 主题 <= 1.0.8.1 - PHP 对象注入漏洞

CVE-2024-52413丨WordPress Airin 博客主题 <= 1.6.1 - PHP 对象注入漏洞