江民科技 企业 个人安全 www.jiangmin.com 北京江民新科技术有限公司 SSL证书 未启用https: 立即申请 [ 网站安全检测 ] 访问网站 网站简介 江民科技，国内较早的反病毒公司，信息安全技术开发商与服务提供商，亚洲反病毒协会会员单位。旗下拥有：单机版/网络版杀毒软件、赤豹端点全息、网络准入控制系统、防毒墙、病毒威胁预警、网页防篡改系统、钓鱼网站监测服务、江民专网安全防护等一系列业界领先的软硬件安全产品。 备案信息 网站名称 江民科技 单位性质 企业 网站备案 京ICP备11017029号-1…

多个插件 <=（各种版本） - 通过 cminds_free_guide 短代码反映跨站点脚本（CVE-2024-11202） CVE编号 CVE-2024-11202 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 针对WordPress的多个插件由于在不同版本中cminds_free_guide短代码输入清理和输出转义的不足，存在遭受反射型跨站脚本攻击（Reflected Cross-Site Scripting）的风险。这使得未经身份验证的攻击者有可能在用户执行某些操作（例如…

Sharp MFP 安全漏洞(CVE-2024-36251) CVE编号 CVE-2024-36251 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Sharp MFP是日本夏普（Sharp）公司的一系列多功能打印机。 Sharp MFP 存在安全漏洞，该漏洞源于越界内存引用，某些设备网页可能会导致设备挂起。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://global.sharp/products/copier/info/info_secur…

预订日历、预约预订系统 <= 3.2.15 - 通过 SVG 文件上传进行未经身份验证的存储跨站点脚本 (CVE-2024-9504) CVE编号 CVE-2024-9504 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Booking 日历插件（WordPress的预约系统插件）存在存储型跨站脚本漏洞，该漏洞存在于所有版本至 3.2.15 版本，包括该版本。该漏洞是由于输入未净化以及输出未转义导致的。攻击者可利用此漏洞在用户访问 SVG 文件时，在页面上注入并执行任意网页脚本。…

Qualcomm闭源组件安全漏洞(CVE-2018-11922) CVE编号 CVE-2018-11922 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Qualcomm Closed-Source Components是其中的一个闭源组件。 Qualcomm Closed-Source Components存在安全漏洞。攻击者可利用该漏洞执行未授权的操作。 解决建议 建议您…

TrustZone 中的身份验证不当（CVE-2018-11952） CVE编号 CVE-2018-11952 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 版本低于熔断版本（fuse version）的图片可能潜在地导致启动不当，进而引发身份验证问题。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2018-b...

支持 SVG – 在 wordpress 中轻松上传 svg 文件 <= 1.1.0 – 通过 SVG 文件上传进行身份验证 (Author+) 存储的跨站点脚本 (CVE-2024-11091) CVE编号 CVE-2024-11091 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress插件“Support SVG - 无障碍上传SVG文件”存在REST API SVG文件上传存储跨站脚本漏洞，影响版本至包括并低于1.1.0版本。该漏洞是由于输入未净化以及输出未转…

BNE Gallery Extended <= 1.2.1 - 通过画廊短代码验证 (Contributor+) 存储跨站点脚本 (CVE-2024-11119) CVE编号 CVE-2024-11119 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress的BNE画廊扩展插件存在存储型跨站脚本漏洞，该漏洞存在于插件的所有版本（包括1.2.1版本）中的“画廊”短代码。由于对用户提供的属性缺乏足够的输入清理和输出转义，使得拥有贡献者级别及以上访问权限的认证攻击者能够在页…

WordPress 的 Spotify 播放按钮 <= 2.11 - 通过 spotifyplaybutton 短代码进行身份验证 (Contributor+) 存储跨站点脚本 (CVE-2024-11192) CVE编号 CVE-2024-11192 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Spotify Play Button for WordPress插件存在存储型跨站脚本漏洞。该漏洞存在于插件的spotifyplaybutton短代码内，影响所有版本至（含）2.11…

WooCommerce 助推器 <= 7.2.3 - 通过 wcj_product_meta 短代码验证 (ShopManager+) 存储跨站点脚本 (CVE-2024-9170) CVE编号 CVE-2024-9170 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress中的WooCommerce插件的增强器（Booster for WooCommerce）存在存储型跨站脚本漏洞（Stored Cross-Site Scripting）。该漏洞存在于插件的wcj_…

Parsi Date <= 5.1.1 — 通过 add_query_arg 参数反映跨站点脚本 (CVE-2024-11032) CVE编号 CVE-2024-11032 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress中的Parsi Date插件存在反射式跨站脚本漏洞，该漏洞存在于所有直至并包括5.1.1版本的URL中使用add_query_arg函数而没有进行适当的转义处理的情况。这使得未经身份验证的攻击者能够在页面中注入任意Web脚本，如果攻击者能够成功诱…

ProjectSend 未经身份验证的配置修改 (CVE-2024-11680) CVE编号 CVE-2024-11680 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 ProjectSend版本r1720之前的版本存在一个不当的认证漏洞。远程未认证的攻击者可以通过发送特制的HTTP请求到options.php来利用此漏洞，从而实现对应用程序配置的未经授权的修改。成功利用此漏洞的攻击者可以创建账户、上传webshells并嵌入恶意JavaScript代码。 解决建议 建议您更新当前系统…

Hustle – 电子邮件营销、潜在客户生成、选择、弹出窗口 <= 7.8.5 - 缺少未发布表单暴露授权 (CVE-2024-10579) CVE编号 CVE-2024-10579 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress的“The Hustle”插件（用于电子邮件营销、潜在客户生成、选择加入和弹出窗口）存在数据未经授权访问的漏洞。该漏洞是由于预览模块功能（preview_module()）缺少权限检查造成的，包括所有版本直到并包括7.8.5。这使得拥有…

AppPresser - 移动应用框架 <= 4.4.6 - 通过密码重置进行未经身份验证的权限提升 (CVE-2024-11024) CVE编号 CVE-2024-11024 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress插件AppPresser移动应用框架存在特权升级漏洞，可能导致账户接管问题，影响所有版本至包括4.4.6版本。这是由于插件在更新用户密码之前未能正确验证用户密码重置代码。这使得未经身份验证的攻击者有可能通过知道用户的电子邮件地址来重置用户密码…

Jeg Elementor Kit <= 2.6.9 - 通过 sg_content_template 暴露经过身份验证 (Contributor+) 敏感信息 (CVE-2024-8899) CVE编号 CVE-2024-8899 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 WordPress中的Jeg Elementor Kit插件存在敏感信息泄露漏洞，该漏洞存在于所有版本至包括（含）2.6.9版本。漏洞位于class/elements/views/class-tabs-v…

本地权限提升漏洞 (CVE-2024-38831) (CVE-2024-38831) CVE编号 CVE-2024-38831 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 VMware Aria Operations存在一个本地权限提升漏洞。具有本地管理权限的恶意攻击者可以将恶意命令插入属性文件中，以提升权限至VMware Aria Operations运行设备的根用户。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://support.bro…

存储型跨站脚本漏洞 (CVE-2024-38834) (CVE-2024-38834) CVE编号 CVE-2024-38834 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 VMware Aria Operations存在一个存储型跨站脚本漏洞。拥有云提供商编辑权限的恶意攻击者可能会在VMware Aria Operations产品中注入恶意脚本，导致存储型跨站脚本问题。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://support.bro…

Apache NimBLE：NimBLE MESH 蓝牙堆栈中的缓冲区溢出（CVE-2024-47248） CVE编号 CVE-2024-47248 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') vulnerability in Apache NimBLE. Specially crafted MESH message could result …

Apache NimBLE：缺乏输入清理，导致多个广告处理程序中出现越界读取（CVE-2024-47249） CVE编号 CVE-2024-47249 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Improper Validation of Array Index vulnerability in Apache NimBLE. Lack of input validation for HCI events from controller could result in out-of-…

Apache NimBLE：HCI 广告报告中缺乏输入验证可能导致潜在的越界访问（CVE-2024-47250） CVE编号 CVE-2024-47250 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Out-of-bounds Read vulnerability in Apache NimBLE. Missing proper validation of HCI advertising report could lead to out-of-bound access when pa…

Apache NimBLE：缺乏输入清理，导致“已完成数据包数”HCI 事件处理程序中出现越界读取（CVE-2024-51569） CVE编号 CVE-2024-51569 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Out-of-bounds Read vulnerability in Apache NimBLE. Missing proper validation of HCI Number Of Completed Packets could lead to out-of-bo…

在视频中使用 After Free（CVE-2018-11816） CVE编号 CVE-2018-11816 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 经过精心设计的绑定请求导致 MediaServer 中的堆未授权访问（Heap UAF）。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://docs.qualcomm.com/product/publicresources/securitybulletin/may-2018-b...

IPA 中的缓冲区过度读取 (CVE-2018-5852) CVE编号 CVE-2018-5852 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 IPA驱动存在一个无符号整数溢出漏洞，这会导致在使用debugfs命令“cat /sys/kernel/debug/ipa/ip4_nat”读取NAT条目时发生缓冲区溢出读取漏洞。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://docs.qualcomm.com/product/publicreso…

firefox-esr 安全漏洞 (CVE-2024-11698) CVE编号 CVE-2024-11698 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 在处理全屏切换时的一个漏洞可能导致应用程序在切换过程中打开一个模态对话框时意外陷入全屏模式。这个问题导致用户无法使用标准的操作（如按下“Esc”键或访问右键菜单）退出全屏模式，从而导致浏览器浏览体验中断，直到重启浏览器。这个漏洞仅影响在 macOS 上运行的应用程序。其他操作系统不受影响。此漏洞影响 Firefox 版本低于 133…

Elementor 网站构建器 – 不仅仅是一个页面构建器 <= 3.25.7 - 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-8236) CVE编号 CVE-2024-8236 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 Elementor 网站构建器不仅仅是 WordPress 的页面构建插件，其图标部件的“url”参数存在存储型跨站脚本漏洞，影响所有版本至 3.25.7 版本。由于输入未适当净化以及输出未适当转义，使得拥有贡献者级别及…