Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion (CVE-2024-10672) CVE编号 CVE-2024-10672 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 WordPress中的多页面生成器插件（MPG插件）存在任意文件删除漏洞。该漏洞存在于所有版本至包括4.0.2版本的mpg_up…

Contact Form 7 Redirect & Thank You Page <= 1.0.6 - Reflected Cross-Site Scripting (CVE-2024-10685) CVE编号 CVE-2024-10685 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 WordPress中的联系表单7重定向和感谢页面插件存在反射跨站脚本漏洞。该漏洞存在于所有版本至并包括版本1.0.6，原因是输入清理和输出转义不足。攻击者可以通过操纵用户点击链接等动作，注…

Futurio Extra <= 2.0.13 - Authenticated (Contributor+) Post Disclosure (CVE-2024-10695) CVE编号 CVE-2024-10695 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 WordPress中的Futurio Extra插件存在信息泄露漏洞，该漏洞存在于所有版本，包括最高版本2.0.13。该漏洞是由于在“elementor-template”短代码中缺乏足够的限制，导致可以访问任何帖子的认…

1000 Projects Beauty Parlour Management System index.php sql injection (CVE-2024-11100) CVE编号 CVE-2024-11100 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在“千个项目美容沙龙管理系统”版本 1.0 中发现了一个严重漏洞。受影响的是 /index.php 文件的一个未知功能。通过操纵参数名称可以导致 SQL 注入攻击。攻击可以远程发起。该漏洞已被公开披露，可能会被利用。 解决建议…

1000 Projects Beauty Parlour Management System search-invoices.php sql injection (CVE-2024-11101) CVE编号 CVE-2024-11101 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在“千项工程美容沙龙管理系统”版本 1.0 中发现了一个严重漏洞。受影响的是 /admin/search-invoices.php 文件中的一个未知功能。通过操纵参数 searchdata，可以导致 SQL…

SourceCodester Hospital Management System edit-doc.php cross site scripting (CVE-2024-11102) CVE编号 CVE-2024-11102 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 SourceCodester医院管理系统1.0存在一个漏洞，被评定为问题性漏洞。该漏洞影响文件/vm/doctor/edit-doc.php的某些未知功能。通过操纵参数名称导致跨站脚本攻击。攻击可能远程发起。该漏洞已…

N/A CVE编号 CVE-2024-48837 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本（包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x）存在一个“执行不必要特权”漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞执行命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.dell.com/support/kbdoc/en-us/000247217/…

N/A CVE编号 CVE-2024-48838 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本（包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x）存在一个文件和目录可被外部实体访问的漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞，导致文件系统被攻击者访问。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.dell.com/support/kbdoc/en…

N/A CVE编号 CVE-2024-49557 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本（包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x）存在一个命令中使用的特殊元素未适当处理（命令注入）的漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞，导致代码执行。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.dell.com/support/kbdoc/…

N/A CVE编号 CVE-2024-49558 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x存在一个不当权限管理漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞，导致权限提升。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.dell.com/support/kbdoc/en-us/000247217/dsa-…

N/A CVE编号 CVE-2024-49560 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 Dell SmartFabric OS10软件版本（包括10.5.6.x、10.5.5.x、10.5.4.x和10.5.3.x）中存在命令注入漏洞。具有本地访问权限的低权限攻击者可能会利用此漏洞执行命令。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://www.dell.com/support/kbdoc/en-us/000247217/dsa-20…

WordPress Emoji Shortcode 插件 <= 1.0.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51609) CVE编号 CVE-2024-51609 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-09 漏洞描述 Elsner Technologies Pvt. Ltd的Emoji Shortcode存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞。这个问题影响了Emoji Shortcode的版本从不适用到1.0.0。允许存储XSS。 解决建议 建…

WordPress Display Terms Shortcode 插件 <= 1.0.4 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51610) CVE编号 CVE-2024-51610 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-09 漏洞描述 在网页生成过程中未适当处理输入（XSS或跨站脚本攻击漏洞）存在于SEO主题的显示术语短代码中，允许存储XSS。这个问题影响显示术语短代码的版本从不适用到1.0.4。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接…

MFA 代码重放（CVE-2024-36250） CVE编号 CVE-2024-36250 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 9.11.x（包括 9.11.2）和版本 9.5.x（包括 9.5.10）未能保护多因素认证（MFA）代码免受重放攻击的影响。这使得攻击者可以在大约 30 秒内重复使用 MFA 代码。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://mattermost.com/security-…

未经授权访问查看频道详细信息（CVE-2024-42000） CVE编号 CVE-2024-42000 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 9.10.x（包括 9.10.2），9.11.x（包括 9.11.1），以及 9.5.x（包括 9.5.9）和 10.0.x（包括 10.0.0）在处理请求到 /api/v4/channels 时存在授权问题。这个问题允许拥有“读取群组”权限的用户或系统管理员在没有访问通道的权限的情况下，通过发送请求到 /ap…

启用 Elasticsearch 时私有频道名称泄露（CVE-2024-52032） CVE编号 CVE-2024-52032 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Mattermost 版本 10.0.x（包括 10.0.0）和 9.11.x（包括 9.11.2）在启用 Elasticsearch v8 时，在搜索频道切换器中的频道名称时无法正确查询 Elasticsearch，这使得攻击者能够获取他们不是成员的私人频道的名称。 解决建议 建议您更新当前系统或软件至最新版，完…

D-Link DI-8003 upgrade_filter.asp upgrade_filter_asp os 命令注入 (CVE-2024-11046) CVE编号 CVE-2024-11046 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 D-Link DI-8003的16.07.16A版本存在一个关键漏洞。受影响的功能是文件/upgrade_filter.asp中的upgrade_filter_asp函数。操纵参数路径会导致操作系统命令注入。攻击者可以远程发起攻击。该漏洞已被公开…

D-Link DI-8003 upgrade_filter.asp upgrade_filter_asp 堆栈溢出 (CVE-2024-11047) CVE编号 CVE-2024-11047 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 发现了一个D-Link DI-8003 16.07.16A1的重大漏洞。该漏洞影响位于/upgrade_filter.asp文件中的upgrade_filter_asp功能。通过操作参数路径会导致基于堆栈的缓冲区溢出。攻击可以远程发起。该漏洞已经公开披…

D-Link DI-8003 dbsrv.asp dbsrv_asp 堆栈溢出 (CVE-2024-11048) CVE编号 CVE-2024-11048 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 D-Link DI-8003的16.07.16A1版本存在一个被评定为严重的漏洞。该漏洞影响位于/dbsrv.asp文件中的dbsrv_asp功能。由于参数str的处理不当，导致基于堆栈的缓冲区溢出。攻击者可能远程发起攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软…

ZKTeco ZKBio 时间图像文件照片直接请求 (CVE-2024-11049) CVE编号 CVE-2024-11049 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 在ZKTeco ZKBio Time 9.0.1中发现了一个被分类为问题性的漏洞。受影响的是Image File Handler组件中的/auth_files/photo/的某个未知功能。操纵会导致直接请求。可以远程发起攻击。攻击的复杂性相当高。可利用性据说很困难。该漏洞已被公开披露并且可能被利用。供应商已提前联系…

AMTT 酒店宽带操作系统 language.php 跨站点脚本 (CVE-2024-11050) CVE编号 CVE-2024-11050 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 AMTT酒店宽带操作系统（版本至3.0.3.151204）存在一个漏洞，被归类为问题性漏洞。该漏洞影响/language.php文件中某些未知处理过程。操纵参数LangID/LangName/LangEName会导致跨站脚本攻击。攻击可能远程发起。该漏洞已被公开披露，可能被利用。尽管早期已将此披露告知…

AMTT酒店宽带运营系统online_status.php sql注入（CVE-2024-11051） CVE编号 CVE-2024-11051 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 AMTT酒店宽带操作系统（版本高达3.0.3.151204）存在一个被分类为“严重”的漏洞。受影响的是文件中名为“未知功能”的部分，即/manager/frontdesk/online_status.php。操作参数AccountID时会导致SQL注入。攻击者可以远程发起攻击。该漏洞已被公开披露，…

WordPress Clever Addons for Elementor 插件 <= 2.2.1 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51580) CVE编号 CVE-2024-51580 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 CleverSoft的Elementor插件Clever Addons在生成网页时存在不当的中性化输入漏洞（XSS或跨站脚本攻击）。此漏洞允许存储跨站脚本攻击。这个问题影响的是Elementor的Clever Addons插件版…

WordPress Restaurant & Cafe Addon for Elementor 插件 <= 1.5.6 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51581) CVE编号 CVE-2024-51581 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 Elementor的NicheAddons餐厅和咖啡馆插件存在网页生成过程中输入未适当中和（XSS或跨站脚本攻击）漏洞，允许存储XSS。这个问题影响Elementor的餐厅和咖啡馆插件版本从不适用到1…

WordPress Kento Ads Rotator 插件 <= 1.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-51583) CVE编号 CVE-2024-51583 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-10 漏洞描述 在KentoThemes Kento Ads Rotator中存在不当的中性化输入（XSS或跨站脚本攻击）漏洞，允许存储跨站脚本攻击。这个问题影响Kento Ads Rotator的版本从不适用到1.3。 解决建议 建议您更新当前系统或软件至最新版，完…