台达电子 DIAScreen 基于堆栈的缓冲区溢出 (CVE-2024-47131) CVE编号 CVE-2024-47131 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 如果攻击者诱骗合法用户运行带有恶意代码的文件中的Delta Electronics DIAScreen应用程序,可以利用BACnetObjectInfo中的堆栈缓冲区溢出漏洞,从而允许攻击者远程执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa…
N/A CVE编号 CVE-2024-50989 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 PHPGurukul在线婚姻登记系统v1.0中的/omrs/admin/search.php存在SQL注入漏洞。攻击者可以通过“searchdata”参数执行任意SQL命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/vkcyberexpert/CVE-Writeup/blob/main/PHPGurukul/Marria…
N/A CVE编号 CVE-2024-50990 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 A Reflected Cross Site Scriptng (XSS) vulnerability was found in /omrs/user/search.php in PHPGurukul Online Marriage Registration System v1.0, which allows remote attackers to execute arbitrary cod…
N/A CVE编号 CVE-2024-50991 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 A Cross Site Scripting (XSS) vulnerability was found in /ums-sp/admin/registered-users.php in PHPGurukul User Management System v1.0, which allows remote attackers to execute arbitrary code via the…
N/A CVE编号 CVE-2024-51054 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-11 漏洞描述 在PHPGurukul在线婚姻登记系统1.0的/omrs/admin/search.php文件中发现了一个跨站脚本漏洞(Cross Site Scripting,简称XSS)。该漏洞允许远程攻击者通过“searchdata”POST请求参数执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://github.com/vkcyberexpert…
One2Track 安全漏洞(CVE-2019-20472) CVE编号 CVE-2019-20472 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 One2Track是One2Track公司的一款儿童 GPS 电话手表。 One2Track存在安全漏洞,该漏洞源于缺少PIN配置。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://seclists.org/fulldisclosure/2024/Jul/14 https://www.one2t…
GitHub Enterprise Server 中的预接收挂钩路径冲突漏洞允许权限提升 (CVE-2024-10007) CVE编号 CVE-2024-10007 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 GitHub企业服务器存在一个路径碰撞和任意代码执行漏洞,攻击者可利用该漏洞通过ghe-firejail路径实现容器逃逸并升级到root权限。利用此漏洞需要获得GitHub企业服务器的企业管理员访问权限。此漏洞影响所有低于3.15版本的GitHub企业版,并在版本3.14.3、…
Nomad 易受滥用 CSI 写入权限的跨命名空间卷创建攻击 (CVE-2024-10975) CVE编号 CVE-2024-10975 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Nomad 社区版和 Nomad 企业版(统称为“Nomad”)的卷规格存在漏洞,该漏洞允许通过未经授权的容器存储接口(CSI)卷写入进行任意跨命名空间卷创建。该漏洞被标识为 CVE-2024-10975,已在 Nomad 社区版 1.9.2 和 Nomad 企业版 1.9.2、1.8.7 和 1.7.1…
CVE编号 CVE-2024-50599 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Zimbra Collaboration Suite(ZCS)是Zimbra公司的一款开源协同办公套件。该产品包括WebMail、日历、通信录等。 Zimbra Collaboration Suite 8.8.15版本存在安全漏洞,该漏洞源于对用户提供的输入处理不当,允许攻击者注入恶意代码,并在HTML响应中反射回来,容易受到反射型跨站脚本攻击。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
GitHub企业服务器发现授权绕过漏洞,允许未经授权的内部用户访问秘密扫描警报数据(CVE-2024-10824) CVE编号 CVE-2024-10824 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 GitHub企业服务器存在一个授权绕过漏洞,该漏洞允许未经授权的内部用户访问仅针对业务所有者设计的敏感秘密扫描警报数据。只有拥有个人访问令牌(PAT)的组织成员才能利用此问题,并且需要在用户拥有的存储库中启用秘密扫描。此漏洞影响了版本为3.13.0之后但在3.14.0之前的GitHub…
AI Call Assistant & Screener 安全漏洞(CVE-2024-36062) CVE编号 CVE-2024-36062 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 AI Call Assistant & Screener是Call Assistant公司的一个呼叫筛选器和拦截器。 AI Call Assistant & Screener 1.174版本存在安全漏洞,该漏洞源于攻击者可通过com.callassistant.android.…
Goodwy Right Dialer 安全漏洞(CVE-2024-36063) CVE编号 CVE-2024-36063 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Goodwy Right Dialer是Goodwy公司的一个拨号软件。 Goodwy Right Dialer 5.1.0及之前版本存在安全漏洞,该漏洞源于攻击者可通过向com.Goodwy.dialer.active.DialerActivity组件发送精心设计的意图,从而无需用户交互即可拨打电话。 解决建议 建议…
NLL APPS ACR Phone 安全漏洞(CVE-2024-36064) CVE编号 CVE-2024-36064 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 NLL APPS ACR Phone是NLL APPS公司的一款通话记录器。 NLL APPS ACR Phone 0.330及之前版本存在安全漏洞,该漏洞源于攻击者可通过向com.nll.cb.dialer.dialer.DialerActivity组件发送精心设计的意图,从而无需用户交互即可拨打电话。 解决建议 建议…
ASD Dev Video Player HD Video Downloader 安全漏洞(CVE-2024-46960) CVE编号 CVE-2024-46960 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 ASD Dev Video Player HD Video Downloader是ASD Dev Video Player公司的一个视频下载器。 ASD Dev Video Player HD Video Downloader 7.0.129及之前版本存在安全漏洞,该漏洞源于允…
Inshot Video Downloader 安全漏洞(CVE-2024-46961) CVE编号 CVE-2024-46961 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 InShot Inshot Video Downloader是InShot公司的一个视频下载应用。 Inshot Video Downloader 1.3.5及之前版本存在安全漏洞,该漏洞源于存在任意JavaScript代码执行漏洞。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 h…
Adobe Experience Manager | 跨站点脚本(存储型 XSS)(CWE-79)(CVE-2024-49523) CVE编号 CVE-2024-49523 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Adobe Experience Manager版本6.5.20及更早版本存在存储型跨站脚本(XSS)漏洞,攻击者可利用该漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含易受攻击字段的页面时,恶意JavaScript可能会在受害者的浏览器中执行。 解决建议 建议您…
Adobe Experience Manager | 跨站点脚本(基于 DOM 的 XSS)(CWE-79)(CVE-2024-49524) CVE编号 CVE-2024-49524 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Adobe Experience Manager版本6.5.20及更早版本存在一个基于DOM的跨站脚本(XSS)漏洞,攻击者可利用该漏洞在受害者的浏览器会话上下文中执行任意代码。通过通过精心制作的URL或用户输入操纵DOM元素,攻击者可以注入恶意脚本,在页面呈…
SourceCodester Survey Application System 安全漏洞(CVE-2024-50766) CVE编号 CVE-2024-50766 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 SourceCodester Survey Application System是SourceCodester开源的一个调查应用系统。 SourceCodester Survey Application System 1.0版本存在安全漏洞,该漏洞源于takeSurvey.ph…
Froala Editor 安全漏洞(CVE-2024-51434) CVE编号 CVE-2024-51434 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Froala Editor是Froala公司的一个功能强大的 JavaScript 富文本编辑器。 Froala Editor 4.3.0及之前版本存在安全漏洞,该漏洞源于存在不一致的明文标记解析,导致容易受到跨站脚本漏洞攻击。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://georgy…
GitHub Enterprise Server 中发现了权限管理漏洞,该漏洞允许 GitHub Apps 授予自己写访问权限 (CVE-2024-8810) CVE编号 CVE-2024-8810 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 在组织中安装的GitHub应用程序可以在未经组织管理员批准的情况下将一些权限从读取升级到写入访问。攻击者需要拥有管理员访问权限的帐户来安装恶意的GitHub应用程序。此漏洞影响了所有早于3.14版本的GitHub企业服务器,并在版本3.14.1…
XStream BinaryStreamDriver 栈溢出致拒绝服务漏洞(CVE-2024-47072) CVE编号 CVE-2024-47072 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 XStream是一个用来将对象序列化成XML (JSON)或反序列化为对象的Java类库。 受影响版本中,如配置使用 BinaryStreamDriver 优化序列化对象的二进制数据流,在反序列化过程中,采用简单递归方式来读取数据流中的映射标记。攻击者可通过输入恶意二进制流触发无限递归,导致栈…
HTTP 客户端在 Duende.AccessTokenManagement.OpenIdConnect 中刷新后使用了错误的令牌 (CVE-2024-51987) CVE编号 CVE-2024-51987 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Duende.AccessTokenManagement.OpenIdConnect是一组用于管理OAuth和OpenId Connect访问令牌的.NET库。通过`AddUserAccessTokenHttpClient`创建的HTT…
在 changedetection.io 中使用文件 URI 方案进行路径遍历而不提供主机名 (CVE-2024-51998) CVE编号 CVE-2024-51998 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 changedetection.io 是一个免费的开源网页变更检测工具。文件URI方案的验证存在缺陷,导致攻击者能够读取系统上的任何文件。此问题仅影响已启用webdriver且`ALLOW_FILE_URI`为false或未定义的实例。用于URL协议的检查`is_safe_…
PSANHost 中的 WatchGuard Endpoint Protection 权限提升允许以 SYSTEM 身份删除任意文件 (CVE-2024-8424) CVE编号 CVE-2024-8424 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 WatchGuard EPDR、Panda AD360 和 Panda Dome 在 Windows 上的 PSANHost.exe 模块存在权限管理不当漏洞,允许以 SYSTEM 权限任意删除文件。此问题影响 EPDR 版本低于 8.0…
N/A CVE编号 CVE-2024-45759 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-08 漏洞描述 Dell PowerProtect Data Domain,版本低于8.1.0.0、7.13.1.10、7.10.1.40和7.7.5.50存在权限升级漏洞。本地低权限攻击者可能会利用此漏洞,导致未经授权执行某些命令以覆盖应用程序的系统配置。利用此漏洞可能导致系统拒绝服务。 解决建议 "将组件 PowerProtect DD 升级至 7.13.1.10 及以上版本" "将组件 PowerPr…