WordPress OS BXSlider 插件 <= 2.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52342) CVE编号 CVE-2024-52342 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Offshorent Solutions Pvt Ltd开发的Jinesh.P.V OS BXSlider存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞。这个问题影响了OS BXSlider的版本从不适用到2.6。允许存储式跨站脚本攻击（Stored…

WordPress OS 定价表插件 <= 1.2 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52343) CVE编号 CVE-2024-52343 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Offshorent Softwares Pvt. Ltd.开发的Jinesh.P.V OS定价表存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许存储跨站脚本攻击。这个问题影响OS定价表的版本从n/a至1.2。 解决建议 建议您更新当前系统或软件至最新版，完…

WordPress 提供外汇信号插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52344) CVE编号 CVE-2024-52344 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Muhammad Junaid提供的外汇信号存在网页生成过程中输入未适当中和（XSS或跨站脚本）漏洞，允许存储跨站脚本攻击。这个问题影响的是从未知版本至1.0版本的提供外汇信号功能。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://p…

WordPress ra_qrcode 插件 <= 2.1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52345) CVE编号 CVE-2024-52345 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（Roberto Alicata的ra_qrcode存在跨站脚本（XSS）漏洞），允许存储跨站脚本攻击。这个问题影响的是从未知版本到2.1.0版本的ra_qrcode。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参…

WordPress SimpleGMaps 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52346) CVE编号 CVE-2024-52346 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Javier Méndez Veira的SimpleGMaps存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许存储跨站脚本攻击。这个问题影响SimpleGMaps的版本从n/a到1.0。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复…

WordPress 网站远程安装 Gravity、WPForms、Formidable、Ninja、Caldera 插件 <= 4.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52347) CVE编号 CVE-2024-52347 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（存在跨站脚本攻击（XSS）漏洞）的WP网站创建者网站远程安装vor Gravity、WPForms、Formidable、Ninja、Caldera存在存储式跨…

WordPress AA 音频播放器插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52348) CVE编号 CVE-2024-52348 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致跨站脚本（XSS）漏洞存在于aaextension AA音频播放器中，允许基于DOM的跨站脚本攻击。这个问题影响的是AA音频播放器版本从不适用到1.0。 解决建议 建议您更新当前系统或软件至最新…

WordPress Awesome Tool Tip 插件 <= 1.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52349) CVE编号 CVE-2024-52349 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（Md. Shiddikur Rahman Awesome Tool Tip中的跨站脚本（XSS）漏洞）允许基于DOM的跨站脚本攻击。这个问题影响到了Awesome Tool Tip的版本从不适用到1.0。 解决建议 建议您…

WordPress WP Job Portal 插件 <= 2.2.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-52389) CVE编号 CVE-2024-52389 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 Web页面生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞存在于WP Job Portal中，允许存储XSS。这个问题影响WP Job Portal的版本从不适用到2.2.0。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  …

WordPress CYAN Backup 插件 <= 2.5.3 - 任意文件下载漏洞 (CVE-2024-52390) CVE编号 CVE-2024-52390 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 CYAN Backup中存在路径遍历漏洞（Path Traversal），攻击者可以通过使用 '.../...//' 等特殊字符序列来访问应用程序不应允许访问的文件或目录。此问题影响CYAN Backup的版本从不适用到2.5.3。 解决建议 建议您更新当前系统或软件至最…

WordPress Print PDF Generator 和 Publisher 插件 <= 1.1.6 - 存储型跨站点脚本 (XSS) 漏洞 (CVE-2024-52394) CVE编号 CVE-2024-52394 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在生成网页时未正确处理输入（XSS或跨站脚本攻击漏洞）存在于nopea.Media Print PDF Generator和Publisher中，允许存储式跨站脚本攻击。此问题影响Print PDF Generat…

WordPress ReConstruction 主题 <= 1.4.7 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-52417) CVE编号 CVE-2024-52417 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 BoldThemes ReConstruction中存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许反射型跨站脚本攻击（Reflected XSS）。此问题影响版本从不适用到1.4.7的ReConstruction。 解决建议 建议…

WordPress Gameplan 主题 <= 1.5.10 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-52418) CVE编号 CVE-2024-52418 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在生成网页时未正确处理输入（XSS或跨站脚本攻击漏洞）的CactusThemes Gameplan存在反射型跨站脚本攻击（XSS）漏洞。这个问题影响Gameplan的版本从不适用到1.5.10。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参…

Harden-Runner 在“setup.ts”和“arc-runner.ts”中存在命令注入漏洞（CVE-2024-52587） CVE编号 CVE-2024-52587 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 StepSecurity的Harden-Runner为GitHub托管和自托管运行器提供网络出口过滤和运行时安全。在v2.10.2之前的step-security/harden-runner版本中存在多个通过环境变量进行命令注入的弱点，这些弱点在特定条件下可能会被利用…

WordPress Stylish Internal Links plugin <= 1.9 - Cross Site Scripting (XSS) vulnerability (CVE-2024-51939) CVE编号 CVE-2024-51939 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致出现了跨站脚本（XSS）漏洞。在Santhosh veer Stylish Internal Links…

WordPress WP Responsive Video plugin <= 1.0 - Cross Site Scripting (XSS) vulnerability (CVE-2024-51940) CVE编号 CVE-2024-51940 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中未正确处理输入（XSS或跨站脚本攻击漏洞）存在于sohelwpexpert的WP响应式视频插件中，它允许基于DOM的跨站脚本攻击。此问题影响版本为WP响应式视频插件的未知版…

WordPress Mage Front End Forms plugin <= 1.1.4 - Cross Site Scripting (XSS) vulnerability (CVE-2024-52339) CVE编号 CVE-2024-52339 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在网页生成过程中没有对输入进行适当的中和（Neutralization），导致Mage Cast Mage前端表单（Mage Front End Forms）存在跨站脚本（Cross…

WordPress Photographer Connections plugin <= 1.3.1 - Cross Site Scripting (XSS) vulnerability (CVE-2024-52340) CVE编号 CVE-2024-52340 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-19 漏洞描述 在Marty Thornley摄影师连接中存在不当的中立输入问题，导致网页生成时出现跨站脚本（XSS）漏洞，允许存储跨站脚本攻击。此问题影响摄影师连接版本从不适用到1.3.1…

code-projects Farmacia fornecedores.php 跨站点脚本 (CVE-2024-11259) CVE编号 CVE-2024-11259 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 在 code-projects Farmacia 1.0 中发现了一个被分类为问题性的漏洞。这个问题影响了未知的文件 /fornecedores.php 的处理过程。操纵过程会导致跨站脚本攻击。攻击可能远程发起。该漏洞已被公开披露并可能被利用。 解决建议 建议您更新当前系统或…

Digital Guardian Windows Agent 8.2.0 之前的版本中的 USB 安全功能绕过 (CVE-2024-3334) CVE编号 CVE-2024-3334 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 Digital Guardian Windows Agent的Removable Media Encryption（RME）组件存在绕过漏洞，版本低于8.2.0。允许用户通过修改USB设备的元数据绕过加密控制，从而危及存储数据的机密性。 解决建议 建议您更新当…

GLPI 在 /front/stat.graph.php 中存在反射型 XSS（CVE-2024-45609） CVE编号 CVE-2024-45609 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一款免费的资产和IT管理软件套件，用于数据中心管理、ITIL服务台、许可证跟踪和软件审计。未经身份验证的用户可以向GLPI技术人员提供一个恶意链接，以利用报告页面中的反射XSS漏洞。建议升级到10.0.17版本。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考…

试听 | 越界读取 (CWE-125) (CVE-2024-49536) CVE编号 CVE-2024-49536 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 Audition版本23.6.9、24.4.6及更早版本存在一个越界读取漏洞，可能导致敏感内存泄露。攻击者可以利用此漏洞绕过诸如ASLR之类的缓解措施。利用此问题需要进行用户交互，即受害者必须打开恶意文件。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://helpx.adobe.com…

Oauth-server-container：oauth-server-container 在调试级别记录客户端机密（CVE-2024-11217） CVE编号 CVE-2024-11217 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 在OAuth服务器中发现了一个漏洞。当日志级别设置为高于调试级别时，OAuth服务器在记录OpenID Connect、GitHub、GitLab或Google身份提供商登录选项时，会记录OAuth2客户端密钥。 解决建议 建议您更新当前系统或软件至最…

GLPI 在 ajax/cable.php 中存在反射型 XSS（CVE-2024-45610） CVE编号 CVE-2024-45610 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一款开源的资产和IT管理软件包，提供ITIL服务台功能、许可证跟踪和软件审计功能。未经身份验证的用户可以向GLPI技术人员提供一个恶意链接，以利用位于电缆表单中的反射XSS漏洞。建议升级到版本10.0.17。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https…

GLPI 在 src/RSSFeed.php 处存在存储型 XSS（CVE-2024-45611） CVE编号 CVE-2024-45611 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 GLPI是一个开源的资产和IT管理软件包，提供ITIL服务台功能、许可证跟踪和软件审计功能。经过身份验证的用户可以绕过访问控制策略，创建附加到其他用户帐户的私人RSS馈源，并使用恶意负载触发存储的跨站脚本攻击（XSS）。建议升级到版本10.0.17。 解决建议 建议您更新当前系统或软件至最新版，完成漏…