AsyncHttpClient (AHC) 库的 `CookieStore` 取代了明确定义的 `Cookie` (CVE-2024-53990) CVE编号 CVE-2024-53990 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 AsyncHttpClient(AHC)库允许Java应用程序轻松地执行HTTP请求并异步处理HTTP响应。在进行任何HTTP请求时,自动启用和自我管理的CookieStore(也称为cookie jar)会静默地用cookie jar中具有相同名称的任…
评估插件中的 HTML 注入(CVE-2024-5890) CVE编号 CVE-2024-5890 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 ServiceNow解决了在Now平台上发现的HTML注入漏洞。该漏洞可能使未经验证的用户能够修改网页或重定向用户到另一个网站。ServiceNow已向客户发布了解决此漏洞的更新。如果尚未这样做,我们建议尽快对您实例应用相关的安全补丁。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://support.s…
Mongoose 搜索注入漏洞(CVE-2024-53900) CVE编号 CVE-2024-53900 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Mongoose before 8.8.3 can improperly use $where in match. 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/advisories/GHSA-m7xq-9374-9rvx https://github.com/Automa…
影响 RV 支持对象的访问控制问题 (CVE-2024-49581) CVE编号 CVE-2024-49581 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在某些特定情况下,由于软件漏洞,可以绕过受限视图支持的对象(OSV1)。这允许没有权限查看这些对象的用户通过对象浏览器直接查看它们。但是,此软件漏洞并没有影响或使组织边界内的数据可用,也没有允许未经身份验证的用户查看或访问数据。受影响的服务已经进行了修补并自动部署到所有Apollo管理的Foundry实例中。 解决建议 "将组件 …
rails-html-sanitizer 1.6.0 的某些配置可能存在 XSS 漏洞 (CVE-2024-53989) CVE编号 CVE-2024-53989 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在Rails应用程序中,rails-html-sanitizer负责清理HTML片段。在使用Rails版本>= 7.1.0时,Rails::HTML::Sanitizer的某些配置可能存在XSS漏洞。如果启用了HTML5清理并且应用程序开发人员替换了“noscript”元素的清理…
rails-html-sanitizer 1.6.0 的某些配置可能存在 XSS 漏洞 (CVE-2024-53988) CVE编号 CVE-2024-53988 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Rails中的rails-html-sanitizer负责清理Rails应用程序中的HTML片段。在使用Rails版本>= 7.1.0时,Rails::HTML::Sanitizer的某些配置可能存在XSS漏洞。如果启用了HTML5清理并且应用程序开发人员已重写了清理器的允许标签…
Hitachi Ops Center OVA 中的 Hitachi Ops Center Common Services 中的身份验证凭据泄漏漏洞 (CVE-2024-45068) CVE编号 CVE-2024-45068 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 日立Ops Center Common Services中的身份验证凭据泄露漏洞存在于日立Ops Center OVA中。这个问题影响日立Ops Center Common Services版本从10.9.3-00到低于…
CMSMasters Elementor Addon
CVE
CVE-2024-10484丨Spectra – WordPress Gutenberg Blocks <= 2.16.2 - 通过 Team Widget 进行身份验证 (Contributor+) 存储的跨站点脚本
Spectra – WordPress Gutenberg Blocks
WP Booking Calendar < 10.6.5 - Admin+ 存储型 XSS (CVE-2024-10893) CVE编号 CVE-2024-10893 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 The WP Booking Calendar WordPress plugin before 10.6.5 does not sanitise and escape some of its settings, which could allow high privilege…
CVE
CVE-2024-9058丨Element Pack Elementor Addons <= 5.10.5 - 通过 Lightbox Widget 进行经过身份验证的 (Contributor+) 基于 DOM 的存储式跨站点脚本
Element Pack Elementor Addons
CVE
CVE-2024-11453丨WordPress Pinterest 插件 – 制作弹出窗口、用户资料、砌体和画廊布局 <= 1.8.8 - 经过身份验证 (Contributor+) 存储的跨站点脚本
WordPress Pinterest 插件 – 制作弹出窗口、用户资料、砌体和画廊布局
Apache Ozone:生成 S3 机密时身份验证不当(CVE-2024-45106) CVE编号 CVE-2024-45106 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Apache Ozone 1.4.0版本中的S3网关HTTP端点身份验证不当,允许任何经过Kerberos身份验证的用户撤销并重新生成其他用户的S3密钥。这种情况仅会在以下情况下发生:* ozone.s3g.secret.http.enabled设置为true。此配置的默认值为false。* 在ozone.s3…