Grand Vice 信息 Webopac - 存储型 XSS (CVE-2024-11021) CVE编号 CVE-2024-11021 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 Grand Vice info的Webopac存在存储型跨站脚本漏洞（Stored Cross-site Scripting vulnerability）。具有常规权限的远程攻击者可以向服务器注入任意JavaScript代码。当用户访问被攻击的页面时，该代码会在用户的浏览器中自动执行。 解决建议 建议您…

D-Link DSL6740C——操作系统命令注入（CVE-2024-11062） CVE编号 CVE-2024-11062 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞，允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.twcert.org.tw/en/cp-139-8228-1…

D-Link DSL6740C——操作系统命令注入（CVE-2024-11063） CVE编号 CVE-2024-11063 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞，允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.twcert.org.tw/en/cp-139-8229-3…

D-Link DSL6740C——操作系统命令注入（CVE-2024-11064） CVE编号 CVE-2024-11064 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞，允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.twcert.org.tw/en/cp-139-8230-1…

D-Link DSL6740C——操作系统命令注入（CVE-2024-11065） CVE编号 CVE-2024-11065 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在操作系统命令注入漏洞，允许具有管理员权限的远程攻击者通过SSH和Telnet提供的特定功能注入并执行任意系统命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.twcert.org.tw/en/cp-139-8231-2…

D-Link DSL6740C——操作系统命令注入（CVE-2024-11066） CVE编号 CVE-2024-11066 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 是的，这个问题涉及到网络安全和潜在的安全风险。如果D-Link DSL6740C调制解调器存在OS命令注入漏洞，那么它可能会被恶意远程攻击者利用，这些攻击者可能会通过特定的网页注入并执行任意的系统命令，从而获取管理员权限并控制该设备。这种情况可能导致数据泄露、设备被滥用或其他形式的网络攻击。因此，这可以被视为一种违法…

D-Link DSL6740C - 通过路径遍历读取任意文件（CVE-2024-11067） CVE编号 CVE-2024-11067 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在路径遍历漏洞，允许未经身份验证的远程攻击者利用此漏洞读取任意系统文件。此外，由于设备的默认密码是MAC地址的组合，攻击者可以通过此漏洞获取MAC地址，并尝试使用默认密码登录设备。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https…

D-Link DSL6740C - 特权 API 的错误使用（CVE-2024-11068） CVE编号 CVE-2024-11068 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 D-Link DSL6740C调制解调器存在一个特权API使用不当的漏洞，允许未经身份验证的远程攻击者利用API修改任何用户的密码，从而使用该用户帐户访问Web、SSH和Telnet服务。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.twcert.org…

Moodle：管理员预设导出工具包含一些不应导出的机密（CVE-2024-43427） CVE编号 CVE-2024-43427 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。在创建站点管理预设的导出时，一些敏感的秘密和密钥没有被排除在导出之外，如果将这些预设与第三方共享，可能会导致它们无意中泄露。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cg…

Moodle：成绩册报告中的用户信息可见性控制问题（CVE-2024-43429） CVE编号 CVE-2024-43429 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。某些隐藏的用户个人资料字段在成绩册报告中可见，这可能导致没有“查看隐藏用户字段”权限的用户能够访问这些信息。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=23042…

Moodle：使用外部方法进行测验覆盖时缺乏访问控制（CVE-2024-43430） CVE编号 CVE-2024-43430 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。外部 API 对测验的访问可以覆盖其中的访问控制不足的问题。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=2304258  https://moodle.org/…

Moodle：“模拟重定向”之间保留的授权标头（CVE-2024-43432） CVE编号 CVE-2024-43432 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。 Moodle 中的 cURL 包装器在模拟重定向时会删除 HTTPAUTH 和 USERPWD 头部，但会保留其他原始请求头部，因此 HTTP 授权头部信息可能会无意中发送到重定向 URL 的请求中。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  http…

Moodle：矩阵用户/权力级别管理在暂停用户的情况下并不总是按预期工作（CVE-2024-43433） CVE编号 CVE-2024-43433 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。矩阵房间的会员资格和权限级别对于已暂停的 Moodle 用户不正确地进行应用和撤销。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=230426…

Moodle：无需管理员身份即可创建全局词汇表（CVE-2024-43435） CVE编号 CVE-2024-43435 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。由于能力检查不足，拥有课程恢复词汇表权限的用户可能将其恢复为全局站点词汇表。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=2304263  https://moodle…

Moodle：恢复恶意课程备份文件时存在 xss 风险（CVE-2024-43437） CVE编号 CVE-2024-43437 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在 Moodle 中发现了一个漏洞。在恢复数据时，没有对数据进行足够的清理，可能导致恶意备份文件引发跨站脚本（XSS）风险。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=2304266  http…

通过自动生成功能进行未经身份验证的拒绝服务 (CVE-2024-10314) CVE编号 CVE-2024-10314 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中，通过自动生成功能发现了未经身份验证的远程拒绝服务（DoS）漏洞。报告人为Karol Więsek。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://portal.perforce.com/s/detail/a91PA000001SZ…

通过拒绝功能进行未经身份验证的拒绝服务 (CVE-2024-10344) CVE编号 CVE-2024-10344 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中，存在一个未经身份验证的远程拒绝服务（DoS）漏洞，该漏洞可通过拒绝功能进行识别。该漏洞由Karol Więsek报告。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://portal.perforce.com/s/detail/a91PA…

通过关闭功能进行未经身份验证的拒绝服务 (CVE-2024-10345) CVE编号 CVE-2024-10345 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Helix Core 2024.2之前的版本中，存在一个未经身份验证的远程拒绝服务（DoS）漏洞，该漏洞可通过shutdown功能进行攻击。该漏洞由Karol Więsek报告。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://portal.perforce.com/s/detail…

N/A CVE编号 CVE-2024-34014 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 由于不正确的符号链接处理，在恢复过程中会发生任意文件覆盖。以下产品受到影响：cPanel和WHM（Linux）的Acronis备份插件（版本低于818），Plesk（Linux）的Acronis备份扩展（版本低于599），DirectAdmin（Linux）的Acronis备份插件（版本低于181）。 解决建议 "将组件 Acronis Backup extension for Plesk …

N/A CVE编号 CVE-2024-34015 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在文件浏览过程中由于不当处理符号链接而导致敏感信息泄露。以下产品受到影响：构建版本低于 818 的 Acronis Backup 插件用于 cPanel & WHM（Linux）。 解决建议 "将组件 Acronis Backup plugin for cPanel & WHM 升级至 818 及以上版本" 参考链接  https://security-advisory.ac…

fork：仅在没有错误的情况下调用 khugepaged、ksm 钩子（CVE-2024-50263） CVE编号 CVE-2024-50263 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Linux内核中，已经解决了一个漏洞，关于fork函数的调用问题：只在没有错误的情况下调用khugepaged和ksm钩子。对于处于不完整状态的mm，没有理由过早调用这些钩子。在提交d24062914837（“fork：使用__mt_dup()复制maple树”）的更改中，这一点变得更加重要，因…

Sanluan PublicCMS 标签类型保存跨站点脚本 (CVE-2024-11070) CVE编号 CVE-2024-11070 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在Sanluan PublicCMS 5.202406.d中发现了一个被分类为问题性的漏洞。这个问题影响了组件Tag Type Handler中未知的文件处理过程/admin/cmsTagType/save。操纵参数名称会导致跨站脚本攻击。攻击可能远程发起。漏洞已被公开披露，可能会被利用。 解决建议 建议您…

台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-39354) CVE编号 CVE-2024-39354 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件来启动Delta Electronics DIAScreen应用程序，那么可以利用CEtherIPTagItem中的栈缓冲区溢出漏洞，允许攻击者远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.cisa.…

台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-39605) CVE编号 CVE-2024-39605 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件，Delta Electronics DIAScreen中的BACnetParameter可能会发生基于堆栈的缓冲区溢出漏洞，使得攻击者能够远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.cisa.go…

台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-47131) CVE编号 CVE-2024-47131 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件中的Delta Electronics DIAScreen应用程序，可以利用BACnetObjectInfo中的堆栈缓冲区溢出漏洞，从而允许攻击者远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.cisa…