Total Upkeep <= 1.16.6 — 通过备份设置进行经过身份验证的(管理员以上)远程代码执行(CVE-2024-9461) CVE编号 CVE-2024-9461 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 BoldGrid插件的WordPress备份插件以及恢复和迁移插件存在远程代码执行漏洞,该漏洞存在于所有版本,包括最高版本1.16.6,漏洞位于cron_interval参数中。这是由于缺少输入验证和清理导致的。这使得拥有管理员级别访问权限及以上的认证攻击者可…
sysmap_element_url 的值可能不同步,导致添加新 URL 时地图元素崩溃(CVE-2024-22117) CVE编号 CVE-2024-22117 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-26 漏洞描述 当向地图元素添加URL时,它会被记录在数据库中并使用顺序ID进行标识。在添加新的URL时,系统会检索最后一个sysmapelementurlid值并将其增加一。然而,当用户手动更改sysmapelementurlid值时(通过添加sysmapelementurlid + 1),会…
调整:`script_pre` 和 `script_post` 选项允许传递由 root 执行的任意脚本(CVE-2024-52336) CVE编号 CVE-2024-52336 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 在Tuned包中发现了一个脚本注入漏洞。本地登录用户无需身份验证即可调用`instance_create()` D-Bus函数。这一缺陷允许本地非特权用户执行带有`script_pre`或`script_post`选项的D-Bus调用,允许传递任意脚本的绝对路径。…
调整:对 `instance_create()` 方法的 `instance_name` 参数进行不当清理 (CVE-2024-52337) CVE编号 CVE-2024-52337 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 在Tuned软件包中发现了一个日志欺骗漏洞,原因是某些API参数未进行适当的清理。这一漏洞使得攻击者可以传入一个受控的字符序列,可以在日志中插入换行符。攻击者可以模仿一个有效的TuneD日志行来欺骗管理员,而不是使用“恶意的”手段。引号('')通常在TuneD…
通过 gRPC-C++ 中的数据损坏来拒绝服务(CVE-2024-11407) CVE编号 CVE-2024-11407 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 存在一个通过数据损坏导致的拒绝服务漏洞在gRPC-C++中。当通过通道参数GRPC_ARG_TCP_TX_ZEROCOPY_ENABLED启用零拷贝传输时,gRPC-C++服务器可能会出现数据损坏问题。应用程序发送的数据在网络传输之前可能被损坏,从而导致接收方接收到错误的字节集,进而导致RPC请求失败。我们建议您升级到提…
Sugar Calendar (Lite) 版本 3.3.0 以下存在反射型跨站脚本漏洞(CVE-2024-10878) CVE编号 CVE-2024-10878 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Sugar Calendar(WordPress的简单活动管理插件)存在反射型跨站脚本攻击(Reflected Cross-Site Scripting)的漏洞。该漏洞是由于在版本3.3.0及以前的所有版本中,使用add_query_arg和remove_query_arg函数处…
TCPDF Local File Inclusion vulnerability (CVE-2024-51058) CVE编号 CVE-2024-51058 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 TCPDF 6.7.5中发现本地文件包含(LFI)漏洞。该漏洞允许用户通过<img>标签的src属性从服务器文件系统读取任意文件,从而可能暴露敏感信息。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/sara…
GitLab 中的会话到期时间不足(CVE-2024-11668) CVE编号 CVE-2024-11668 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 An issue has been discovered in GitLab CE/EE affecting all versions from 16.11 before 17.4.5, 17.5 before 17.5.3, and 17.6 before 17.6.1. Long-lived connections could …
GitLab 中的授权不正确(CVE-2024-11669) CVE编号 CVE-2024-11669 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 An issue was discovered in GitLab CE/EE affecting all versions from 16.9.8 before 17.4.5, 17.5 before 17.5.3, and 17.6 before 17.6.1. Certain API endpoints could potentia…
GitLab 中算法复杂性低下(CVE-2024-11828) CVE编号 CVE-2024-11828 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A denial of service (DoS) condition was discovered in GitLab CE/EE affecting all versions from 13.2.4 before 17.4.5, 17.5 before 17.5.3, and 17.6 before 17.6.1. By lever…
lobe-chat 中的 ssrf 漏洞(CVE-2024-32965) CVE编号 CVE-2024-32965 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Lobe Chat is an open-source, AI chat framework. Versions of lobe-chat prior to 1.19.13 have an unauthorized ssrf vulnerability. An attacker can construct malicious …
Fides Webserver 中的密码策略绕过漏洞 (CVE-2024-52008) CVE编号 CVE-2024-52008 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Fides is an open-source privacy engineering platform. The user invite acceptance API endpoint lacks server-side password policy enforcement, allowing users t…
sigstore-java 中的捆绑验证漏洞(CVE-2024-53267) CVE编号 CVE-2024-53267 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 sigstore-java is a sigstore java client for interacting with sigstore infrastructure. sigstore-java has insufficient verification for a situation where a validly-…
labsai/eddi 中路径名被不当限制在受限目录(“路径遍历”)中 (CVE-2024-53844) CVE编号 CVE-2024-53844 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 E.D.D.I (Enhanced Dialog Driven Interface) is a middleware to connect and manage LLM API bots. A path traversal vulnerability exists in the backup e…
GitLab 中缺少授权(CVE-2024-8114) CVE编号 CVE-2024-8114 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 An issue has been discovered in GitLab CE/EE affecting all versions from 8.12 before 17.4.5, 17.5 before 17.5.3, and 17.6 before 17.6.1. This issue allows an attacker with ac…
GitLab 中算法复杂性低下(CVE-2024-8177) CVE编号 CVE-2024-8177 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 An issue was discovered in GitLab CE/EE affecting all versions starting from 15.6 prior to 17.4.5, starting from 17.5 prior to 17.5.3, starting from 17.6 prior to 17.6.1 w…
GitLab 中算法复杂性低下(CVE-2024-8237) CVE编号 CVE-2024-8237 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A Denial of Service (DoS) issue has been discovered in GitLab CE/EE affecting all versions prior to 12.6 prior to 17.4.5, 17.5 prior to 17.5.3, and 17.6 prior to 17.6.1. A…
OpenText AccuRev for LDAP Integration 版本 2017.1 中缺少身份验证漏洞。(CVE-2019-17082) CVE编号 CVE-2019-17082 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Missing Authentication for Critical Function vulnerability in OpenText™ AccuRev for LDAP Integration allows Authenticat…
GitLab 中敏感系统信息暴露于未经授权的控制范围 (CVE-2024-10240) CVE编号 CVE-2024-10240 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 An issue has been discovered in GitLab EE affecting all versions starting from 17.3 before 17.3.7, all versions starting from 17.4 before 17.4.4, all version…
Easy Folder Listing Pro 反序列化漏洞 (CVE-2024-11145) CVE编号 CVE-2024-11145 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 Valor Apps Easy Folder Listing Pro has a deserialization vulnerability that allows an unauthenticated, remote attacker to execute arbitrary code with the…
SourceCodester 最佳房屋租赁管理系统 ajax.php 跨站点脚本 (CVE-2024-11742) CVE编号 CVE-2024-11742 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability, which was classified as problematic, has been found in SourceCodester Best House Rental Management System 1.0. This issue affe…
SourceCodester 最佳房屋租赁管理系统 POST 请求 ajax.php 跨站请求伪造 (CVE-2024-11743) CVE编号 CVE-2024-11743 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability, which was classified as problematic, was found in SourceCodester Best House Rental Management System 1.0. Affected is…
Cri-o:可以从不同的命名空间触发检查点恢复(CVE-2024-8676) CVE编号 CVE-2024-8676 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability was found in CRI-O, where it can be requested to take a checkpoint archive of a container and later be asked to restore it. When it does that resto…
1000 个项目组合管理系统 MCA register.php sql 注入 (CVE-2024-11744) CVE编号 CVE-2024-11744 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability has been found in 1000 Projects Portfolio Management System MCA 1.0 and classified as critical. Affected by this vulnerability is…
Tenda AC8 SetStaticRouteCfg route_static_check 堆栈溢出 (CVE-2024-11745) CVE编号 CVE-2024-11745 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-27 漏洞描述 A vulnerability was found in Tenda AC8 16.03.34.09 and classified as critical. Affected by this issue is the function route_static_c…