CNVD-ID CNVD-2024-44474 公开日期 2024-11-11 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 Mozilla Firefox <131 Mozilla Firefox ESR <128.3 Mozilla Thunderbird <128.3 Mozilla Thunderbird <131 CVE ID CVE-2024-9398 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 …
CNVD-ID CNVD-2024-44473 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:C/A:N) 影响产品 Mozilla Firefox <131 CVE ID CVE-2024-9391 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131之前版本存在安全漏洞,攻击者可利用该漏洞阻止在特制网页上启用全屏模式的用户退出全屏模式。 漏洞类型 通用型漏洞 参考链接 https://…
CNVD-ID CNVD-2024-44472 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Mozilla Firefox <131 Mozilla Firefox ESR <128.3 Mozilla Thunderbird <128.3 Mozilla Thunderbird <131 CVE ID CVE-2024-9399 漏洞描述 Mozilla Firefox是一款开源Web浏览器。Mozilla Firefo…
CNVD-ID CNVD-2024-44471 公开日期 2024-11-11 危害级别 中 (AV:N/AC:L/Au:N/C:N/I:P/A:N) 影响产品 Mozilla Firefox <131 CVE ID CVE-2024-9395 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131之前版本存在安全漏洞,该漏洞源于包含大量空格的特制文件名在下载对话框中显示时可能会掩盖文件的扩展名。目前没有详细漏洞细节提供。 漏洞类型 …
CNVD-ID CNVD-2024-44539 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome <126.0.6478.126 CVE ID CVE-2024-9859 漏洞描述 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。 Google Chrome 126.0.6478.126之前版本存在类型混淆漏洞,攻击者可利用该漏洞通过精心设计的HTML页面执行任意代码。 漏洞类型 通用型漏洞…
CNVD-ID CNVD-2024-44522 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:M/C:C/I:C/A:C) 影响产品 Microsoft Azure Service Connector Microsoft Azure CLI CVE ID CVE-2024-43591 漏洞描述 Microsoft Azure Command Line Integration(CLI)是美国微软(Microsoft)公司的一个跨平台的命令行工具,可连接到Azure并对Azure资源执行管理…
CNVD-ID CNVD-2024-44521 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Microsoft PowerShell 7.2 Microsoft Visual Studio 2022 17.6 Microsoft Visual Studio 2022 17.8 Microsoft Visual Studio 2022 17.10 Microsoft PowerShell 7.4 Microsoft Visual Studio 20…
CNVD-ID CNVD-2024-44470 公开日期 2024-11-11 危害级别 高 (AV:N/AC:M/Au:N/C:N/I:N/A:C) 影响产品 mozilla Mozilla Firefox <131.0.3 CVE ID CVE-2024-9936 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131.0.3之前版本存在竞态条件漏洞,攻击者可利用该漏洞导致意外行为并导致浏览器崩溃。 漏洞类型 通用型漏洞 参考链接…
Moodle:通过 h5p 错误消息反射 xss(CVE-2024-43439) CVE编号 CVE-2024-43439 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在 Moodle 中发现了一个漏洞。H5P 错误消息需要进行额外的清理,以防止出现反射式跨站脚本(XSS)风险。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugzilla.redhat.com/show_bug.cgi?id=2304268 https://moodl…
IBM Maximo Asset Management 跨站点脚本(CVE-2024-45088) CVE编号 CVE-2024-45088 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 IBM Maximo Asset Management 7.6.1.3存在存储型跨站脚本漏洞。该漏洞允许认证用户在Web UI中嵌入任意JavaScript代码,从而改变预期功能,可能导致在受信任会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https:/…
Eclipse OpenJ9 可能会在 JNI 函数 GetStringUTFLength 中返回不正确的值(CVE-2024-10917) CVE编号 CVE-2024-10917 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在Eclipse OpenJ9版本直至0.47中,JNI函数GetStringUTFLength可能会返回不正确的值,这个值可能已经环绕(wrap around)。从版本0.48开始,值是正确的,但可能会被截断以包含更少的字符数。 解决建议 建议您更新当前系统…
SourceCodester 医院管理系统 delete-account.php 授权不当 (CVE-2024-11073) CVE编号 CVE-2024-11073 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 SourceCodester医院管理系统1.0中发现了一个被分类为问题性的漏洞。该漏洞影响未知部分的文件/vm/patient/delete-account.php。操纵参数id导致授权不当。有可能进行远程攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软…
IBM WebSphere Application Server 跨站点脚本(CVE-2024-45087) CVE编号 CVE-2024-45087 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 IBM WebSphere Application Server 8.5和9.0存在跨站脚本漏洞。该漏洞允许特权用户在Web UI中嵌入任意JavaScript代码,从而改变预期功能,可能导致在受信任的会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 …
itsourcecode 裁缝管理系统 incadd.php sql注入(CVE-2024-11074) CVE编号 CVE-2024-11074 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在itsourcecode的Tailoring Management System 1.0中发现了一个被分类为关键的漏洞。这个漏洞影响了未知代码的/incadd.php文件。对参数inccat/desc/date/amount的操作导致了SQL注入。攻击可以远程发起。该漏洞已被公开披露并可能被利…
code-projects 招聘activation.php sql注入(CVE-2024-11076) CVE编号 CVE-2024-11076 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在 code-projects Job Recruitment 1.0 中发现了一个被分类为关键的漏洞。这个问题影响了未知的文件处理过程 /activation.php。操纵参数 e_hash 会导致 SQL 注入。攻击可能远程发起。该漏洞已被公开披露,可能被利用。 解决建议 建议您更新当前系统…
code-projects 招聘 index.php sql 注入 (CVE-2024-11077) CVE编号 CVE-2024-11077 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在code-projects Job Recruitment 1.0中发现了一个被分类为关键的漏洞。受影响的是文件/index.php中的一个未知功能。操纵参数email会导致SQL注入。攻击者可以远程发起攻击。该漏洞已被公开披露并可能被利用。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的…
Gliffy Online 中的不安全配置(CVE-2024-10315) CVE编号 CVE-2024-10315 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在Gliffy Online的4.14.0-6之前的版本中,发现了一个不安全的配置。 解决建议 "将组件 Gliffy Online 升级至 4.14.0-6 及以上版本" 参考链接 https://portal.perforce.com/s/detail/a91PA000001SZVJYA4
code-projects 招聘 register.php 跨站点脚本 (CVE-2024-11078) CVE编号 CVE-2024-11078 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在 code-projects Job Recruitment 1.0 中发现了一个问题漏洞。受影响的是 /register.php 文件的一个未知功能。通过操纵参数 e 可以导致跨站脚本攻击。攻击可以远程发起。该漏洞已被公开披露,可能会被利用。 解决建议 建议您更新当前系统或软件至最新版,完成…
Apache控制器中的激活/停用验证不足(CVE-2024-51484) CVE编号 CVE-2024-51484 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行控制器激活或停用时未能正确验证CSRF令牌。这种漏洞使得攻击者能够利用CSRF攻击,可能通过恶意请求更改仅应由管理员管理的网站功能。这个问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于此漏洞,尚无已知的解决方案。 解决建议…
Apache插件(激活/禁用)验证不足(CVE-2024-51485) CVE编号 CVE-2024-51485 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行插件激活或停用时未能正确验证CSRF令牌。这种漏洞使得攻击者可以利用CSRF攻击,通过恶意请求潜在地更改网站功能,这些功能应该只能由管理员进行管理。这个问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于此漏洞,尚无已知的解决方…
Ampache 中的存储式跨站点脚本 (CVE-2024-51486) CVE编号 CVE-2024-51486 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于网络的音频/视频流媒体应用程序和文件管理器。漏洞存在于Ampache菜单的接口部分,用户可以在该部分更改“自定义URL - 网站图标”。该部分未进行适当的清理,允许输入可以执行JavaScript的字符串。该问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于此漏洞,没有已知的解决方法。 解决建议…
Ampache 目录(激活/停用)验证不足(CVE-2024-51487) CVE编号 CVE-2024-51487 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行目录激活或停用时未能正确验证CSRF令牌。这种漏洞允许攻击者利用CSRF攻击,可能通过恶意请求更改仅应由管理员管理的网站功能。此问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于此漏洞,没有已知的解决方法。 解决建议 建议…
Apache中的删除消息验证不足(CVE-2024-51488) CVE编号 CVE-2024-51488 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行用户删除消息操作时没有对CSRF令牌进行足够的验证。这种漏洞可能会被利用来伪造CSRF攻击,攻击者可以删除任何用户的消息,包括管理员在内,如果他们与恶意请求进行交互。这个问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于这种漏洞,没…
Apache中的消息令牌验证不足(CVE-2024-51489) CVE编号 CVE-2024-51489 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行用户间消息传递时,没有对CSRF令牌进行足够的验证。这种漏洞可能会被利用来发起CSRF攻击,攻击者可以向任何用户(包括管理员)发送消息,如果他们与恶意请求进行交互。这个问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于这种漏洞,没有…
Ampache 中的存储式跨站点脚本 (CVE-2024-51490) CVE编号 CVE-2024-51490 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。存在一个漏洞存在于Ampache菜单的界面部分,用户可以在其中更改“自定义URL-Logo”。该部分未进行适当的清理,允许输入可以执行JavaScript的字符串。此问题已在版本7.0.1中得到解决,建议所有用户进行升级。目前尚无已知的解决方案来解决此漏洞。 …