在禁用特殊特定权限的扩展程序时,Managewiki很容易绕过旁路:ManageWiki/Extensions(CVE-2025-32964) CVE编号 CVE-2025-32964 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 ManageWiki 是一个 MediaWiki 扩展,允许用户管理维基。在 commit 00bebea 之前,当启用一个冲突的扩展时,即使用户没有 ManageWiki 的权限,一个受限制的扩展也会自动被禁用。这个问题已在 commit 00bebea …
SAP Field Logistics(CVE-2025-31327)中的ODATA META-DATA属性实体篡改 CVE编号 CVE-2025-31327 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 SAP的Field Logistics Manage Logistics应用程序的OData元数据属性存在数据篡改漏洞。由于该漏洞,攻击者可能会外部修改某些字段,对应用程序的完整性造成较低的影响。但此漏洞不会影响到机密性和可用性。 解决建议 建议您更新当前系统或软件至最…
SAP S/4 HANA(学习解决方案)(CVE-2025-31328)中的跨站点伪造(CSRF)漏洞 CVE编号 CVE-2025-31328 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 SAP Learning Solution存在跨站请求伪造(CSRF)漏洞,攻击者可诱骗已认证用户向服务器发送非预期请求。基于GET的OData函数命名方式违反了预期行为,此问题可能影响应用程序的机密性和完整性,但不会影响可用性。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
折衷的Xrpl.js版本4.2.1、4.2.2、4.2.3、4.2.4和2.14.2(CVE-2025-32965) CVE编号 CVE-2025-32965 利用情况 暂无 补丁情况 N/A 披露时间 2025-04-23 漏洞描述 xrpl.js is a JavaScript/TypeScript API for interacting with the XRP Ledger in Node.js and the browser. Versions 4.2.1, 4.2.2, 4.2.3, an…
CNVD-ID CNVD-2024-47907 公开日期 2024-12-12 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Siemens Totally Integrated Automation Portal (TIA Portal) V16 Siemens Totally Integrated Automation Portal (TIA Portal) V17 Siemens Totally Integrated Automation Portal (TIA Porta…
CNVD-ID CNVD-2024-47916 公开日期 2024-12-12 危害级别 高 (AV:N/AC:H/Au:N/C:C/I:C/A:C) 影响产品 Apache struts >=2.0.0,<=2.3.37(EOL) Apache struts >=2.5.0,<=2.5.33 Apache struts >=6.0.0,<=6.3.0.2 CVE ID CVE-2024-53677 漏洞描述 Apache Struts是美国阿帕奇(Apache)基金会的一个开源…
CNVD-ID CNVD-2024-48102 公开日期 2024-12-13 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Tenda AC10 V15.03.06.23 CVE ID CVE-2022-42165 漏洞描述 Tenda AC10是一款无线路由器。 Tenda AC10 formSetDeviceName函数存在堆栈溢出漏洞,攻击者可利用该漏洞使缓冲区溢出,并在系统上执行任意代码或导致拒绝服务。 漏洞类型 通用型漏洞 参考链接 https://nvd.nist.…
CNVD-ID CNVD-2024-48100 公开日期 2024-12-13 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:P/A:N) 影响产品 moodle Moodle <=v4.2.3 CVE ID CVE-2024-34312 漏洞描述 Moodle是一套免费、开源的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。 Moodle存在跨站脚本漏洞,该漏洞源于vplide.js文件对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web…
CNVD-ID CNVD-2024-47520 公开日期 2024-12-06 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 IBM Security Verify Access Appliance 10.0.8 CVE ID CVE-2024-49803 漏洞描述 IBM Security Verify AccessAppliance是基于网络设备的安全解决方案,提供基于 Web 的威胁的访问控制和保护。 IBM Security Verify Access Appliance…
CNVD-ID CNVD-2024-47515 公开日期 2024-12-06 危害级别 中 (AV:N/AC:H/Au:N/C:C/I:N/A:N) 影响产品 IBM IBM Cognos Controller 11.0.0 IBM IBM Cognos Controller 11.0.1 CVE ID CVE-2024-41775 漏洞描述 IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。 IB…
CNVD-ID CNVD-2024-47516 公开日期 2024-12-10 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:C/A:N) 影响产品 IBM IBM Cognos Controller 11.0.0 IBM IBM Cognos Controller 11.0.1 CVE ID CVE-2024-41776 漏洞描述 IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。 IB…
CNVD-ID CNVD-2024-47517 公开日期 2024-12-06 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 IBM IBM Cognos Controller 11.0.0 IBM IBM Cognos Controller 11.0.1 CVE ID CVE-2024-41777 漏洞描述 IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。 IB…
CNVD-ID CNVD-2024-48103 公开日期 2024-12-13 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Tenda i9 1.0.0.8(3828) CVE ID CVE-2024-11650 漏洞描述 Tenda i9是中国腾达(Tenda)公司的一种可以在天花板上安装的无线接入点。 Tenda i9存在拒绝服务漏洞,该漏洞源于文件/goform/GetIPTV的websReadEvent函数存在空指针取消引用。攻击者可利用该漏洞导致拒绝服务。 漏洞类型 …
CNVD-ID CNVD-2024-47518 公开日期 2024-12-06 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 IBM IBM Cloud Pak for Data >=4.0.0,<=5.0.2 CVE ID CVE-2024-49353 漏洞描述 IBM Cloud Pak for Data是美国国际商业机器(IBM)公司的一种云原生解决方案,可以让客户快速高效地使用数据和分析数据。 IBM Cloud Pak for Data 4.0.0版本到5.…
CNVD-ID CNVD-2024-47519 公开日期 2024-12-06 危害级别 中 (AV:N/AC:L/Au:N/C:N/I:P/A:N) 影响产品 IBM IBM Jazz Foundation 7.0.2 IBM IBM Jazz Foundation 7.0.3 CVE ID CVE-2023-26280 漏洞描述 IBM Jazz Foundation是美国国际商业机器(IBM)公司的一个面向软件交付技术的下一代协作平台。 IBM Jazz Foundation 7.0.2版本和7.0.3版本存…
CNVD-ID CNVD-2024-48101 公开日期 2024-12-13 危害级别 高 (AV:N/AC:L/Au:S/C:C/I:C/A:C) 影响产品 FreePBX FreePBX v17.0.19.17 CVE ID CVE-2024-53564 漏洞描述 FreePBX(前称Asterisk Management Portal)是FreePBX项目的一套通过GUI(基于网页的图形化接口)配置Asterisk(IP电话系统)的工具。 FreePBX存在文件上传漏洞。该漏洞源于应用对上传的文件缺少有效的…
CNVD-ID CNVD-2024-48022 公开日期 2024-12-16 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 浙江大华技术股份有限公司 智慧园区综合管理平台 漏洞描述 浙江大华股份有限公司是领先的监控产品供应商和解决方案服务商,面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品,并提供提供热成像测温和黑体测温设备。 浙江大华技术股份有限公司智慧园区综合管理平台存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 漏洞类型 通用型漏洞 参考链接 漏洞解…
CNVD-ID CNVD-2024-47177 公开日期 2024-12-15 危害级别 中 (AV:N/AC:L/Au:S/C:P/I:N/A:N) 影响产品 贵州小码科技有限公司 Jpress 5.1.2 漏洞描述 jpress是一个完整的Java CMS网站管理系统。 贵州小码科技有限公司jpress存在文件上传漏洞,攻击者可利用该漏洞通过上传文件,获取用户cookie等敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已发布补丁修复漏洞,请广大用户及时下载更新: https://www.jpre…
CNVD-ID CNVD-2024-47342 公开日期 2024-12-14 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 北京亚控科技发展有限公司 KingPortal开发系统客户端 漏洞描述 北京亚控科技发展有限公司是一家自动化软件平台高科技企业。 北京亚控科技发展有限公司KingPortal开发系统客户端存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已发布了漏洞修复程序,请及时关注更新: http://www.k…
CNVD-ID CNVD-2024-47906 公开日期 2024-12-12 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Siemens Parasolid V36.1 <V36.1.225 Siemens Parasolid V37.0 <V37.0.173 Siemens Parasolid V37.1 <V37.1.109 CVE ID CVE-2024-54091 漏洞描述 Siemens Parasolid是一种三维几何建模工具,支持各种技术,包括…
CNVD-ID CNVD-2024-47514 公开日期 2024-12-10 危害级别 高 (AV:N/AC:L/Au:S/C:C/I:C/A:C) 影响产品 IBM IBM App Connect Enterprise Certified Container 11.4 IBM IBM App Connect Enterprise Certified Container 11.5 IBM IBM App Connect Enterprise Certified Container 11.6 IBM IBM App…
CNVD-ID CNVD-2024-48032 公开日期 2024-12-16 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 中科方德软件有限公司 方德桌面操作系统 5.0-G230 漏洞描述 方德桌面操作系统是国产操作系统,适配海光、兆芯、飞腾、龙芯、申威、鲲鹏等国产CPU,支持x86、ARM、MIPS等主流架构。 中科方德软件有限公司方德桌面操作系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已发布补丁修复漏洞,请广…
简单的电子商务购物车插件 - 通过 Paypal 销售产品
简单的电子商务购物车插件 - 通过 Paypal 销售产品