在 Contiki-NG 中解码 SNMP 消息时发生越界读取（CVE-2024-41126） CVE编号 CVE-2024-41126 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Contiki-NG是一个用于物联网设备的开源、跨平台操作系统。在向运行了启用SNMP的Contiki-NG操作系统的设备发送数据包时，可能会触发一次越界读取1字节的情况。SNMP模块在默认的Contiki-NG配置中是禁用的。该漏洞存在于os/net/app-layer/snmp/snmp-messag…

Contiki-NG 中的 RPL 选项处理中存在未对齐的内存访问（CVE-2024-47181） CVE编号 CVE-2024-47181 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Contiki-NG是一个用于物联网设备的开源、跨平台操作系统。在Contiki-NG操作系统的两个RPL实现中可能会触发未对齐的内存访问问题。当启用并连接到RPL实例中的任一这些RPL实现时，可能会发生此问题。如果IPv6数据包在RPL选项之前包含奇数个填充字节，它可能会导致rpl_ext_head…

bunkerweb 加载页面中的开放重定向漏洞 (CVE-2024-53264) CVE编号 CVE-2024-53264 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 bunkerweb是一个开源的下一代Web应用程序防火墙（WAF）。在加载端点存在一个开放的重定向漏洞，攻击者可以通过“next”参数将经过身份验证的用户重定向到任意的外部URL。加载端点接受并使用未经验证的“next”参数进行重定向。例如，经过身份验证后访问`/loading?next=https://google.…

用户可以在 centurion_erp 中查看不属于自己的组织的票据 (CVE-2024-53855) CVE编号 CVE-2024-53855 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Centurion ERP（企业资源规划）是一个简单的应用程序，专为开源IT管理开发，特别侧重于IT服务管理（ITSM）模块。经过身份验证并拥有票据查看权限的用户可以查看他们不属于的其他组织的票据。以下权限的用户适用：1.拥有`view_ticket_change`权限的用户可以查看他们不属于的组…

Autolab 中的课程名册易受 CSV 注入攻击 (CVE-2024-53260) CVE编号 CVE-2024-53260 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Autolab是一个课程管理服务，可实现自动分级的编程任务。用户可以修改他们的名字以包含有效的Excel或电子表格公式。当教师下载课程名单并打开时，这些名字将被评估为公式。这可能会导致将课程名单中的学生信息泄露到远程端点。这个问题已在源代码存储库中进行了修复，预计将在下一个版本中进行发布。建议用户手动修复系统或等待…

递归存储库克隆可能会将身份验证令牌泄露给 gh cli 中的非 GitHub 子模块主机（CVE-2024-53858） CVE编号 CVE-2024-53858 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 GitHub的官方命令行工具gh cli存在一个安全漏洞，该漏洞可能导致身份验证令牌泄漏。当克隆托管在GitHub以外的git子模块时，这个漏洞可能会被触发。这个漏洞源于几个用于从非GitHub主机克隆包含子模块的存储库的gh命令，包括`gh repo clone`、`gh re…

go-gh `auth.TokenForHost` 违反了代码空间内的 GitHub 主机安全边界（CVE-2024-53859） CVE编号 CVE-2024-53859 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 go-gh是一个用于与gh实用程序和GitHub API交互的Go模块。在go-gh中发现了一个安全漏洞，该漏洞可能导致为GitHub主机准备的认证令牌泄漏给非GitHub主机，尤其是在代码空间内。go-gh根据所涉及的主机从不同的环境变量中获取身份验证令牌：1.对于G…

sp-php-email-handler 中可能存在滥用漏洞，用于发送任意电子邮件（CVE-2024-53860） CVE编号 CVE-2024-53860 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 sp-php-email-handler是一个用于处理联系表格提交的PHP软件包。使用该脚本发送的消息容易受到滥用，因为该脚本允许任何人指定任意电子邮件收件人并在确认电子邮件中包含用户提供的内容。这可能会使恶意行为者利用您的服务器发送垃圾邮件、钓鱼邮件或其他恶意内容，可能会损害您的域名…

富士电机 Monitouch V-SFT V10 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11789) CVE编号 CVE-2024-11789 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电气Monitouch V-SFT V10文件解析栈缓冲区溢出远程代码执行漏洞。该漏洞允许远程攻击者在安装了受影响版本的富士电气Monitouch V-SFT的设备上执行任意代码。要利用此漏洞，需要用户与恶意页面进行交互或打开恶意文件。该漏洞具体存在于V10文件的解析…

富士电机 Monitouch V-SFT V10 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11790) CVE编号 CVE-2024-11790 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT V10文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Monitouch V-SFT的系统上执行任意代码。要利用这一漏洞，需要用户与恶意页面进行交互或打开恶意文件。这一漏洞具体存在于V10文件的解析过程中…

富士电机 Monitouch V-SFT V8C 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11791) CVE编号 CVE-2024-11791 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电气Monitouch V-SFT V8C文件解析栈溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了受影响的富士电气Monitouch V-SFT系统上执行任意代码。要利用这一漏洞，需要用户与恶意页面进行交互或打开恶意文件。具体漏洞存在于V8C文件的解析过程中。问…

富士电机 Monitouch V-SFT V8 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11792) CVE编号 CVE-2024-11792 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电气Monitouch V-SFT V8文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电气Monitouch V-SFT的受影响系统上执行任意代码。要利用此漏洞，需要用户与恶意页面进行交互或打开恶意文件。具体漏洞存在于V8文件的解析过程中。问题…

富士电机 Monitouch V-SFT V9C 文件解析越界写入远程代码执行漏洞 (CVE-2024-11793) CVE编号 CVE-2024-11793 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT V9C文件解析越界写入远程代码执行漏洞。这一漏洞允许远程攻击者在安装了受影响版本的富士电力Monitouch V-SFT的设备上执行任意代码。利用此漏洞需要用户与恶意页面或文件互动。具体漏洞存在于V9C文件的解析过程中。问题源于对用户提供数据的…

富士电机 Monitouch V-SFT V10 文件解析越界写入远程代码执行漏洞 (CVE-2024-11794) CVE编号 CVE-2024-11794 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT V10文件解析越界写入远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Monitouch V-SFT的系统上执行任意代码。要利用这一漏洞，需要用户与恶意页面交互或打开恶意文件。具体漏洞存在于V10文件的解析过程中。问题源于对用户提供数据…

富士电机 Monitouch V-SFT V8 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11795) CVE编号 CVE-2024-11795 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT V8文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Monitouch V-SFT的受影响系统上执行任意代码。要利用此漏洞，需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于V8文件的解析过程中。问…

富士电机 Monitouch V-SFT V9C 文件解析越界写入远程代码执行漏洞 (CVE-2024-11796) CVE编号 CVE-2024-11796 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电子Monitouch V-SFT V9C文件解析越界写入远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电子Monitouch V-SFT的受影响系统上执行任意代码。要利用此漏洞，需要用户与恶意页面或恶意文件进行交互。具体漏洞存在于V9C文件的解析过程中。问题源于对用户提供…

富士电机 Monitouch V-SFT V8 文件解析越界写入远程代码执行漏洞 (CVE-2024-11797) CVE编号 CVE-2024-11797 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT V8文件解析越界写入远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Monitouch V-SFT的系统中执行任意代码。要利用此漏洞，需要用户与恶意页面交互或打开恶意文件。这一漏洞具体存在于V8文件的解析过程中。问题源于对用户提供数据的验…

富士电机 Monitouch V-SFT X1 文件解析越界写入远程代码执行漏洞 (CVE-2024-11798) CVE编号 CVE-2024-11798 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Monitouch V-SFT X1文件解析越界写入远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Monitouch V-SFT的系统上执行任意代码。要利用这一漏洞，需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于X1文件的解析过程中。问题源于对用户提供数据…

富士电机 Tellus Lite V-Simulator 5 V8 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11799) CVE编号 CVE-2024-11799 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Tellus Lite V-Simulator 5的V8文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Tellus Lite的设备上执行任意代码。要利用这一漏洞，需要用户与恶意页面或恶意文件进行交互。具体漏洞存在于V…

富士电机 Tellus Lite V-Simulator 5 V8 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11800) CVE编号 CVE-2024-11800 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Tellus Lite V-Simulator 5的V8文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Tellus Lite的设备上执行任意代码。要利用这一漏洞，需要用户与恶意页面或恶意文件进行交互。具体漏洞存在于V…

富士电机 Tellus Lite V-Simulator 5 V8 文件解析越界写入远程代码执行漏洞 (CVE-2024-11801) CVE编号 CVE-2024-11801 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Tellus Lite V-Simulator 5 V8文件解析越界写入远程代码执行漏洞。该漏洞允许远程攻击者在安装了富士电力Tellus Lite的系统上执行任意代码。要利用此漏洞，需要用户与恶意页面进行交互或打开恶意文件。这一特定漏洞存在于V-Simul…

富士电机 Tellus Lite V-Simulator 5 V8 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-11802) CVE编号 CVE-2024-11802 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Tellus Lite V-Simulator 5的V8文件解析栈缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电力Tellus Lite的设备上执行任意代码。要利用这一漏洞，需要用户与恶意页面进行交互或打开恶意文件。这一漏洞具体…

富士电机 Tellus Lite V-Simulator 5 V8 文件解析越界写入远程代码执行漏洞 (CVE-2024-11803) CVE编号 CVE-2024-11803 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电力Tellus Lite V-Simulator 5 V8文件解析越界写入远程代码执行漏洞。该漏洞允许远程攻击者在安装了富士电力Tellus Lite的系统中执行任意代码。要利用此漏洞，需要用户与恶意页面或恶意文件进行交互。这一特定漏洞存在于V-Simulat…

富士电机 Monitouch V-SFT X1 文件解析基于堆的缓冲区溢出远程代码执行漏洞 (CVE-2024-11933) CVE编号 CVE-2024-11933 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 富士电气Monitouch V-SFT X1文件解析堆缓冲区溢出远程代码执行漏洞。这一漏洞允许远程攻击者在安装了富士电气Monitouch V-SFT的系统上执行任意代码。要利用这一漏洞，需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于X1文件的解析过程中。问题源于…

我没有敌人 ——我的最后陈述 刘晓波（2009年12月23日） 在我已过半百的人生道路上，1989年6月是我生命的重大转折时刻。那之前，我是文革后恢复高考的第一届大学生（七七级），从学士到硕士再到博士，我的读书生涯是一帆风顺，毕业后留在北京师范大学任教。在讲台上，我是一名颇受学生欢迎的教师。同时，我又是一名公共知识分子，在上世纪八十年代发表过引起轰动的文章与著作，经常受邀去各地演讲，还应欧美国家之邀出国做访问学者。我给自己提出的要求是：无论做人还是为文，都要活得诚实、负责、有尊严。那之后，因从美国回来参加八九运动，…