Contact Form 7 Redirect & Thank You Page <= 1.0.6 - Reflected Cross-Site Scripting (CVE-2024-10685) CVE编号 CVE-2024-10685 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 WordPress中的联系表单7重定向和感谢页面插件存在反射跨站脚本漏洞。该漏洞存在于所有版本至并包括版本1.0.6,原因是输入清理和输出转义不足。攻击者可以通过操纵用户点击链接等动作,注…
Futurio Extra <= 2.0.13 - Authenticated (Contributor+) Post Disclosure (CVE-2024-10695) CVE编号 CVE-2024-10695 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 WordPress中的Futurio Extra插件存在信息泄露漏洞,该漏洞存在于所有版本,包括最高版本2.0.13。该漏洞是由于在“elementor-template”短代码中缺乏足够的限制,导致可以访问任何帖子的认…
1000 Projects Beauty Parlour Management System index.php sql injection (CVE-2024-11100) CVE编号 CVE-2024-11100 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在“千个项目美容沙龙管理系统”版本 1.0 中发现了一个严重漏洞。受影响的是 /index.php 文件的一个未知功能。通过操纵参数名称可以导致 SQL 注入攻击。攻击可以远程发起。该漏洞已被公开披露,可能会被利用。 解决建议…
1000 Projects Beauty Parlour Management System search-invoices.php sql injection (CVE-2024-11101) CVE编号 CVE-2024-11101 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在“千项工程美容沙龙管理系统”版本 1.0 中发现了一个严重漏洞。受影响的是 /admin/search-invoices.php 文件中的一个未知功能。通过操纵参数 searchdata,可以导致 SQL…
SourceCodester Hospital Management System edit-doc.php cross site scripting (CVE-2024-11102) CVE编号 CVE-2024-11102 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 SourceCodester医院管理系统1.0存在一个漏洞,被评定为问题性漏洞。该漏洞影响文件/vm/doctor/edit-doc.php的某些未知功能。通过操纵参数名称导致跨站脚本攻击。攻击可能远程发起。该漏洞已…
N/A CVE编号 CVE-2024-48837 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本(包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x)存在一个“执行不必要特权”漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞执行命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.dell.com/support/kbdoc/en-us/000247217/…
N/A CVE编号 CVE-2024-48838 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本(包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x)存在一个文件和目录可被外部实体访问的漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞,导致文件系统被攻击者访问。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.dell.com/support/kbdoc/en…
N/A CVE编号 CVE-2024-49557 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本(包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x)存在一个命令中使用的特殊元素未适当处理(命令注入)的漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞,导致代码执行。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.dell.com/support/kbdoc/…
N/A CVE编号 CVE-2024-49558 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x存在一个不当权限管理漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞,导致权限提升。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.dell.com/support/kbdoc/en-us/000247217/dsa-…
N/A CVE编号 CVE-2024-49560 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本(包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x)中存在命令注入漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞执行命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.dell.com/support/kbdoc/en-us/000247217/dsa-20…
WordPress Emoji Shortcode 插件 <= 1.0.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51609) CVE编号 CVE-2024-51609 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-09 漏洞描述 Elsner Technologies Pvt. Ltd的Emoji Shortcode存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞。这个问题影响了Emoji Shortcode的版本从不适用到1.0.0。允许存储XSS。 解决建议 建…
WordPress Display Terms Shortcode 插件 <= 1.0.4 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51610) CVE编号 CVE-2024-51610 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-09 漏洞描述 在网页生成过程中未适当处理输入(XSS或跨站脚本攻击漏洞)存在于SEO主题的显示术语短代码中,允许存储XSS。这个问题影响显示术语短代码的版本从不适用到1.0.4。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接…
MFA 代码重放(CVE-2024-36250) CVE编号 CVE-2024-36250 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 9.11.x(包括 9.11.2)和版本 9.5.x(包括 9.5.10)未能保护多因素认证(MFA)代码免受重放攻击的影响。这使得攻击者可以在大约 30 秒内重复使用 MFA 代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://mattermost.com/security-…
未经授权访问查看频道详细信息(CVE-2024-42000) CVE编号 CVE-2024-42000 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 9.10.x(包括 9.10.2),9.11.x(包括 9.11.1),以及 9.5.x(包括 9.5.9)和 10.0.x(包括 10.0.0)在处理请求到 /api/v4/channels 时存在授权问题。这个问题允许拥有“读取群组”权限的用户或系统管理员在没有访问通道的权限的情况下,通过发送请求到 /ap…
启用 Elasticsearch 时私有频道名称泄露(CVE-2024-52032) CVE编号 CVE-2024-52032 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 10.0.x(包括 10.0.0)和 9.11.x(包括 9.11.2)在启用 Elasticsearch v8 时,在搜索频道切换器中的频道名称时无法正确查询 Elasticsearch,这使得攻击者能够获取他们不是成员的私人频道的名称。 解决建议 建议您更新当前系统或软件至最新版,完…
D-Link DI-8003 upgrade_filter.asp upgrade_filter_asp os 命令注入 (CVE-2024-11046) CVE编号 CVE-2024-11046 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 D-Link DI-8003的16.07.16A版本存在一个关键漏洞。受影响的功能是文件/upgrade_filter.asp中的upgrade_filter_asp函数。操纵参数路径会导致操作系统命令注入。攻击者可以远程发起攻击。该漏洞已被公开…
D-Link DI-8003 upgrade_filter.asp upgrade_filter_asp 堆栈溢出 (CVE-2024-11047) CVE编号 CVE-2024-11047 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 发现了一个D-Link DI-8003 16.07.16A1的重大漏洞。该漏洞影响位于/upgrade_filter.asp文件中的upgrade_filter_asp功能。通过操作参数路径会导致基于堆栈的缓冲区溢出。攻击可以远程发起。该漏洞已经公开披…
D-Link DI-8003 dbsrv.asp dbsrv_asp 堆栈溢出 (CVE-2024-11048) CVE编号 CVE-2024-11048 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 D-Link DI-8003的16.07.16A1版本存在一个被评定为严重的漏洞。该漏洞影响位于/dbsrv.asp文件中的dbsrv_asp功能。由于参数str的处理不当,导致基于堆栈的缓冲区溢出。攻击者可能远程发起攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软…
ZKTeco ZKBio 时间图像文件照片直接请求 (CVE-2024-11049) CVE编号 CVE-2024-11049 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 在ZKTeco ZKBio Time 9.0.1中发现了一个被分类为问题性的漏洞。受影响的是Image File Handler组件中的/auth_files/photo/的某个未知功能。操纵会导致直接请求。可以远程发起攻击。攻击的复杂性相当高。可利用性据说很困难。该漏洞已被公开披露并且可能被利用。供应商已提前联系…
AMTT 酒店宽带操作系统 language.php 跨站点脚本 (CVE-2024-11050) CVE编号 CVE-2024-11050 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 AMTT酒店宽带操作系统(版本至3.0.3.151204)存在一个漏洞,被归类为问题性漏洞。该漏洞影响/language.php文件中某些未知处理过程。操纵参数LangID/LangName/LangEName会导致跨站脚本攻击。攻击可能远程发起。该漏洞已被公开披露,可能被利用。尽管早期已将此披露告知…
AMTT酒店宽带运营系统online_status.php sql注入(CVE-2024-11051) CVE编号 CVE-2024-11051 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 AMTT酒店宽带操作系统(版本高达3.0.3.151204)存在一个被分类为“严重”的漏洞。受影响的是文件中名为“未知功能”的部分,即/manager/frontdesk/online_status.php。操作参数AccountID时会导致SQL注入。攻击者可以远程发起攻击。该漏洞已被公开披露,…
WordPress Clever Addons for Elementor 插件 <= 2.2.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51580) CVE编号 CVE-2024-51580 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 CleverSoft的Elementor插件Clever Addons在生成网页时存在不当的中性化输入漏洞(XSS或跨站脚本攻击)。此漏洞允许存储跨站脚本攻击。这个问题影响的是Elementor的Clever Addons插件版…
WordPress Restaurant & Cafe Addon for Elementor 插件 <= 1.5.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51581) CVE编号 CVE-2024-51581 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Elementor的NicheAddons餐厅和咖啡馆插件存在网页生成过程中输入未适当中和(XSS或跨站脚本攻击)漏洞,允许存储XSS。这个问题影响Elementor的餐厅和咖啡馆插件版本从不适用到1…
WordPress Kento Ads Rotator 插件 <= 1.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51583) CVE编号 CVE-2024-51583 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 在KentoThemes Kento Ads Rotator中存在不当的中性化输入(XSS或跨站脚本攻击)漏洞,允许存储跨站脚本攻击。这个问题影响Kento Ads Rotator的版本从不适用到1.3。 解决建议 建议您更新当前系统或软件至最新版,完…
WordPress Marquee Elementor 带有 Posts 插件 <= 1.2.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51584) CVE编号 CVE-2024-51584 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Anas Edreesi Marquee Elementor与帖子中的网页生成过程中输入未适当中和(XSS或跨站脚本攻击漏洞),导致基于DOM的跨站脚本攻击(XSS)漏洞。这个问题影响Marquee Elementor与帖子的版本…