小程序 API

IBM QRadar SIEM 跨站点脚本（CVE-2024-47107） CVE编号 CVE-2024-47107 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-07 漏洞描述 IBM QRadar SIEM 7.5存在存储型跨站脚本漏洞。该漏洞允许经过身份验证的用户在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致在受信任的会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://www.ibm.com/support/pa…

WP Umbrella：更新备份恢复和监控

TP-Link VN020 F3v(T) SOAP 请求 WANIPConnection 缓冲区溢出（CVE-2024-12343） CVE编号 CVE-2024-12343 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-08 漏洞描述 已发现TP-Link VN020 F3v(T) TT_V6.2.1021存在一个关键漏洞。该漏洞影响组件SOAP Request Handler中的未知功能，文件为/control/WANIPConnection。操作参数NewConnectionType会导致缓冲区…

TP-Link VN020 F3v(T) FTP USER 命令内存损坏（CVE-2024-12344） CVE编号 CVE-2024-12344 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 发现TP-Link VN020 F3v(T) TT_V6.2.1021存在一个被分类为关键的漏洞。该漏洞影响组件中未知的FTP USER Command Handler部分。通过操纵可能导致内存损坏。攻击者可以远程发起攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软件至最新…

Talentera byt_cv_manager 跨站点脚本 (CVE-2024-12346) CVE编号 CVE-2024-12346 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 Talentera软件存在一个漏洞，该漏洞影响到了文件/app/control/byt_cv_manager中的未知代码。该漏洞是由于对参数redirect_url的操纵导致的跨站脚本攻击。攻击可以远程发起，并且该漏洞已被公开披露，可能被利用。提供的PoC仅在Mozilla Firefox浏览器中有效。该…

广州华谊智能科技Jeewms Druid监控接口index.html授权不当（CVE-2024-12347） CVE编号 CVE-2024-12347 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-09 漏洞描述 发现广州华艺智能技术有限公司的Jeewms软件版本至1.0.0存在一个严重漏洞。该漏洞影响组件Druid监控界面的某些未知处理过程，具体影响文件为/jeewms_war/webpage/system/druid/index.html。由于不当授权，攻击者可能远程发起攻击。该漏洞已被公开披露，…

CNVD-ID CNVD-2024-46952 公开日期 2024-12-08 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 上海企望信息科技有限公司 ERP系统 漏洞描述 上海企望信息科技有限公司是一家专注于为包装印刷行业提供高端智能制造管理解决方案的公司。 上海企望信息科技有限公司ERP系统存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已发布漏洞修复程序，请及时关注更新： http://www.wantit.com.cn/…

CNVD-ID CNVD-2024-46229 公开日期 2024-12-07 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 北京网动网络科技股份有限公司 网动统一通信平台 5.0.21.1008 北京网动网络科技股份有限公司 网动统一通信平台 5.0.24.1024 北京网动网络科技股份有限公司 网动统一通信平台 5.0.24.1010 漏洞描述 网动统一通信平台是一个基于Web的协作平台，支持即时通信、视频会议/远程培训、VoIP等功能。 北京网动网络科技股份有限公司网动统一…

CNVD-ID CNVD-2024-46798 公开日期 2024-11-19 危害级别 中 (AV:L/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Adobe After Effects <=23.6.9 Adobe After Effects >=24.0，<24.6.3 CVE ID CVE-2024-47446 漏洞描述 Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。…

CNVD-ID CNVD-2024-46181 公开日期 2024-12-05 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 全讯汇聚网络科技（北京）有限公司 爱快流控路由器 2.5.10 漏洞描述 爱快流控路由器是全讯汇聚网络科技（北京）有限公司旗下路由器产品。 全讯汇聚网络科技（北京）有限公司爱快流控路由器存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 3.0版本固件，已修复此漏洞，建议用户下载使用： https://www.…

CNVD-ID CNVD-2024-46180 公开日期 2024-12-05 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 全讯汇聚网络科技（北京）有限公司 爱快流控路由器 2.5.10 漏洞描述 爱快流控路由器是全讯汇聚网络科技（北京）有限公司旗下路由器产品。 全讯汇聚网络科技（北京）有限公司爱快流控路由器存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 3.0版本固件，已修复此漏洞，建议用户下载使用： https://…

CNVD-ID CNVD-2024-46176 公开日期 2024-12-05 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 北京亿赛通科技发展有限责任公司 电子文档安全管理系统 漏洞描述 电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统，采用实时动态加解密保护技术和实时权限回收机制，提供对各类电子文档内容级的安全保护。 北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解…

CNVD-ID CNVD-2024-47286 公开日期 2024-12-05 危害级别 中 (AV:A/AC:L/Au:N/C:N/I:N/A:C) 影响产品 TP-LINK TL-WDR7660 1.0 CVE ID CVE-2024-48712 漏洞描述 TP-LINK TL-WDR7660是中国普联（TP-LINK）公司的一款千兆路由器。 TP-LINK TL-WDR7660 1.0版本存在缓冲区溢出漏洞，该漏洞源于rtRuleJsonTobin函数在处理参数字符串名称时未进行检查，远程攻击者可利用该漏洞在…

CNVD-ID CNVD-2024-47285 公开日期 2024-12-05 危害级别 中 (AV:L/AC:L/Au:S/C:C/I:C/A:C) 影响产品 Google Android <12 Google Android <12L Google Android <13 Google Android <14 CVE ID CVE-2024-40661 漏洞描述 Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。 Google Androi…

CNVD-ID CNVD-2024-47284 公开日期 2024-12-05 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Android CVE ID CVE-2024-31337 漏洞描述 Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。 Google Android存在安全漏洞，攻击者利用该漏洞可以提升权限。 漏洞类型 通用型漏洞 参考链接 https://nvd.nist.gov/vuln/detail/C…

CNVD-ID CNVD-2024-46797 公开日期 2024-11-28 危害级别 高 (AV:N/AC:H/Au:N/C:C/I:C/A:C) 影响产品 IBM Security SOAR <=51.0.1.0 CVE ID CVE-2024-45670 漏洞描述 IBM Security SOAR是美国国际商业机器（IBM）公司的一款产品，前身为Resilient。旨在帮助您的安全团队自信地应对网络威胁、通过智能实现自动化并通过一致性进行协作。 IBM Security SOAR存在授权问题漏洞，该…

CNVD-ID CNVD-2024-47283 公开日期 2024-12-05 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 TP-LINK vn020-f3vt tt_v6.2.1021 CVE ID CVE-2024-11237 漏洞描述 TP-LINK vn020-f3vt是中国普联（TP-LINK）公司的一款无线调制解调器。 TP-Link vn020-f3vt存在缓冲区溢出漏洞，该漏洞源于对参数hostname的错误操作会导致基于堆栈的缓冲区溢出。该漏洞源于网络系统或产…

CNVD-ID CNVD-2024-47220 公开日期 2024-12-05 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 IrfanView IrfanView 4.67 CVE ID CVE-2024-11564 漏洞描述 IrfanView是Irfan Skiljan个人开发者的一款图片浏览器。支持图片浏览、图片编辑、图片格式转换等。 IrfanView存在越界写入漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。 漏洞类型 通用型漏洞 参考链接 https://nv…

CNVD-ID CNVD-2024-46793 公开日期 2024-11-27 危害级别 中 (AV:N/AC:H/Au:N/C:C/I:N/A:N) 影响产品 IBM Concert >=1.0.0， <=1.0.1 CVE ID CVE-2024-43189 漏洞描述 IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式 AI 来帮助管理复杂的云原生应用程序。 IBM Concert存在加密问题漏洞，该漏洞源于未正确启用HTTP严格传输安全，远程攻击者可以利用该漏洞获取敏感…

CNVD-ID CNVD-2024-46794 公开日期 2024-11-27 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:P/A:N) 影响产品 IBM Concert >=1.0.0， <=1.0.1 CVE ID CVE-2024-41785 漏洞描述 IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式 AI 来帮助管理复杂的云原生应用程序。 IBM Concert存在跨站脚本漏洞，该漏洞源于允许未经身份验证的攻击者在Web UI中嵌入任意JavaScri…

CNVD-ID CNVD-2024-46795 公开日期 2024-11-28 危害级别 高 (AV:N/AC:L/Au:S/C:C/I:P/A:P) 影响产品 IBM IBM Concert <1.0.3 CVE ID CVE-2024-52360 漏洞描述 IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。 IBM Concert存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。远程攻击者可利用该漏洞可以发送特制的SQL语句，…

CNVD-ID CNVD-2024-46796 公开日期 2024-11-28 危害级别 中 (AV:N/AC:L/Au:S/C:N/I:P/A:N) 影响产品 IBM IBM Concert <1.0.3 CVE ID CVE-2024-52359 漏洞描述 IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。 IBM Concert 1.0.3之前版本存在访问控制错误漏洞，该漏洞源于访问控制不当，攻击者可利用该漏洞执行未经授权的操作。 漏洞类型…

CNVD-ID CNVD-2024-46826 公开日期 2024-12-05 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 IrfanView IrfanView 4.66 CVE ID CVE-2024-6819 漏洞描述 IrfanView是一款图片浏览器。支持图片浏览、图片编辑、图片格式转换等。 IrfanView PSP文件解析存在越界写入远程代码执行漏洞，该漏洞是由于对用户提供的数据缺乏适当的验证造成的，攻击者可利用该漏洞在当前进程的上下文中执行代码。 漏洞类型 通用…

CNVD-ID CNVD-2024-46825 公开日期 2024-12-05 危害级别 高 (AV:L/AC:L/Au:N/C:C/I:C/A:C) 影响产品 IrfanView IrfanView CVE ID CVE-2024-11510 漏洞描述 IrfanView是一款图片浏览器。支持图片浏览、图片编辑、图片格式转换等。 IrfanView WBZ插件WB1堆栈文件解析存在缓冲区溢出远程代码执行漏洞，该漏洞是由于在将用户提供的数据复制到堆栈的缓冲区之前，没有对其长度进行适当的验证造成的。攻击者可利用该漏洞…