Liteos_a 存在释放后使用漏洞(CVE-2024-10074) CVE编号 CVE-2024-10074 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.1.1及之前版本中,本地攻击者可以通过使用后释放(use after free)的方式将普通权限升级到root权限。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh/s…
Ability Runtime 存在越界读取权限绕过漏洞(CVE-2024-12082) CVE编号 CVE-2024-12082 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.0.0及之前版本中,本地攻击者可以通过越界读取(out-of-bounds Read)导致信息泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh…
Liteos_a 存在越界读取漏洞(CVE-2024-9978) CVE编号 CVE-2024-9978 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 在OpenHarmony v4.1.1及其之前的版本中,本地攻击者可以通过越界读取(out-of-bounds Read)导致信息泄露。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://gitee.com/openharmony/security/blob/master/zh/security-d…
Goodlayers Core <= 2.0.7 — 通过“font-family”反射跨站点脚本(CVE-2024-11200) CVE编号 CVE-2024-11200 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的Goodlayers Core插件存在跨站脚本反射漏洞,该漏洞存在于所有版本至包括2.0.7版本中的“字体家族”参数,由于输入清理和输出转义不足。这使得未经身份验证的攻击者能够在页面上注入任意Web脚本,如果攻击者能够成功诱使用户执行操作(例如…
高级文件管理器 <= 5.2.10 — 经过身份验证 (Subscriber+) 任意文件上传 (CVE-2024-11391) CVE编号 CVE-2024-11391 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的Advanced File Manager插件存在任意文件上传漏洞,该漏洞是由于缺少文件类型验证所致,影响所有版本至包括5.2.10版本中的'class_fma_connector.php'文件。这使得经过身份验证的攻击者(拥有订阅者级别访问权限…
WordPress 多级推荐联盟插件,适用于 WooCommerce 插件 <= 2.27 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-53742) CVE编号 CVE-2024-53742 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在生成网页时输入未适当中和(Neutralization)的问题(“跨站脚本”漏洞)存在于 Prism I.T. 系统的 WooCommerce 多级推荐联盟插件中,这可能导致反射型跨站脚本攻击(Reflected XSS)。此问题…
WordPress Elementor 倒计时器插件 <= 1.3.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53743) CVE编号 CVE-2024-53743 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 FlickDevs的Elementor倒计时计时器中存在网页生成过程中输入未适当中和的问题(即跨站脚本漏洞),允许存储式跨站脚本攻击(Stored XSS)。此问题影响Elementor倒计时计时器的版本从不适用到1.3.6。 解决建议 建议您更新当前系统…
WordPress Elementor 图片库插件 <= 1.0.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53744) CVE编号 CVE-2024-53744 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Skybootstrap Elementor图片库插件中存在网页生成过程中输入未适当中和的问题(跨站脚本漏洞),允许存储式跨站脚本攻击。这个问题影响Elementor图片库插件的版本从不适用到1.0.3。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress 社交分享按钮 By Cosmos Farm 插件 <= 1.9 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53745) CVE编号 CVE-2024-53745 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 抱歉,这个功能暂未开放上线。您也可以用中文或英文问我一些其他的问题,我会尽力为您解答。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/wordpress…
WordPress Elementor Button Plus 插件 <= 1.3.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53746) CVE编号 CVE-2024-53746 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 FlickDevs Elementor Button Plus存在网页生成过程中输入未适当中和(跨站脚本攻击)漏洞,允许存储式跨站脚本攻击。此问题影响Elementor Button Plus的版本从不适用到1.3.3。 解决建议 建议您更…
WordPress Video Player for WPBakery 插件 <= 1.0.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53747) CVE编号 CVE-2024-53747 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 NuttTaro Video Player for WPBakery存在网页生成过程中输入未适当中和(跨站脚本)漏洞,允许存储式跨站脚本攻击(Stored XSS)。这个问题影响Video Player for WPBakery的版…
WordPress WP Mermaid 插件 <= 1.0.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53748) CVE编号 CVE-2024-53748 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Terry Lin WP Mermaid存在网页生成过程中输入未适当中和(跨站脚本漏洞)的漏洞,允许存储式跨站脚本攻击(Stored XSS)。此问题影响WP Mermaid的版本范围是从不适用到1.0.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress Post Carousel Slider for Elementor 插件 <= 1.4.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53749) CVE编号 CVE-2024-53749 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在网页生成过程中未正确处理输入(跨站脚本漏洞)存在于Elementor的插件Devs Post Carousel Slider中,允许存储跨站脚本(XSS)。这个问题影响的是Elementor的Post Carou…
WordPress PayPal Responder 插件 <= 1.2 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53750) CVE编号 CVE-2024-53750 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 Maeve Lander的PayPal Responder存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本攻击(XSS)。这个问题影响的是PayPal Responder的版本从n/a到1.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏…
WordPress Stripe Donation 插件 <= 1.2.5 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53752) CVE编号 CVE-2024-53752 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在网页生成过程中没有对输入进行适当的中和(Neutralization),导致出现了跨站脚本(Cross-site Scripting)漏洞。这个漏洞存在于Berg Informatik的Stripe捐款插件中,允许存储式跨站脚本攻击(Stored X…
代码项目 Farmacia Visualizar-produto.php SQL 注入 (CVE-2024-12007) CVE编号 CVE-2024-12007 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在 code-projects Farmacia 1.0 中发现了一个被分类为关键的漏洞。该漏洞影响文件 /visualizar-produto.php 的未知部分。通过操纵参数 id 可以导致 SQL 注入。攻击者可以远程发起攻击。该漏洞已被公开披露,可能会被利用。 解决建议 …
HPE IceWall 产品,远程未经授权的数据修改(CVE-2024-11856) CVE编号 CVE-2024-11856 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 HPE IceWall产品中存在一个安全漏洞,可能会被远程利用导致未经授权的数据修改。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbmu04762en_us&d…
hv_sock:将 vsk->trans 初始化为 NULL 以防止悬空指针(CVE-2024-53103) CVE编号 CVE-2024-53103 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在Linux内核中,已经解决了一个关于hv_sock的漏洞:为了防止悬空指针,初始化vsk->trans为NULL。当hvs被释放时,存在一种可能性,即vsk->trans没有被初始化为NULL,这可能会导致悬空指针问题。这个问题通过初始化vsk->trans为NUL…
媒体:uvcvideo:跳过解析 uvc_parse_format 中 UVC_VS_UNDEFINED 类型的帧(CVE-2024-53104) CVE编号 CVE-2024-53104 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 In the Linux kernel, the following vulnerability has been resolved: media: uvcvideo: Skip parsing frames of type UVC_VS_UNDEFIN…
多个 mapp 组件中的身份验证绕过漏洞(CVE-2024-10490) CVE编号 CVE-2024-10490 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在需要OPC UA Server配置的B&R mapp Cockpit 6.0之前版本、B&R mapp View 6.0之前版本、B&R mapp Services 6.0之前版本、B&R mapp Motion 6.0之前版本以及B&R mapp Vision 6.0之前版本中,存在…
摄像头驱动程序中使用超出范围的指针偏移 (CVE-2024-33036) CVE编号 CVE-2024-33036 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在解析相机驱动程序中的传感器数据包时发生内存损坏。在内核中分配内存和解析时使用了用户空间变量,这可能导致巨大的内存分配或无效的内存访问。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://docs.qualcomm.com/product/publicresources/security…
神经处理单元中的缓冲区过度读取(CVE-2024-33037) CVE编号 CVE-2024-33037 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 NPU固件可能会向NPU驱动程序发送无效的IPC消息,因为驱动程序不会验证从固件接收到的IPC消息,从而导致信息披露漏洞。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://docs.qualcomm.com/product/publicresources/securitybulletin/dec…
音频中不受信任的指针取消引用(CVE-2024-33039) CVE编号 CVE-2024-33039 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 当PAL客户端调用PAL服务API时,传递一个随机值作为句柄,并且服务没有对句柄进行验证,导致内存损坏。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://docs.qualcomm.com/product/publicresources/securitybulletin/december-2...
摄像头驱动程序中的释放后使用 (CVE-2024-33040) CVE编号 CVE-2024-33040 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在内核空间中,当执行冗余的释放命令以从用户空间释放缓冲区时,可能会发生内存损坏的问题。在缓冲区释放和缓冲区访问之间存在竞态条件,可能导致意外的错误或安全问题。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://docs.qualcomm.com/product/publicresources/se…
虚拟机管理程序中数组索引验证不当(CVE-2024-33044) CVE编号 CVE-2024-33044 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-02 漏洞描述 在Bypass模式下配置SMR/S2CR寄存器时出现内存损坏问题。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://docs.qualcomm.com/product/publicresources/securitybulletin/december-2...