注册时绕过域名限制(CVE-2024-11599) CVE编号 CVE-2024-11599 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Mattermost 版本 10.0.x(包括 10.0.1),版本 10.1.x(包括 10.1.1),版本 9.11.x(包括 9.11.3),以及版本 9.5.x(包括 9.5.11)在电子邮件地址验证方面存在缺陷。这使得未经身份验证的用户可以通过精心设计的电子邮件注册输入来绕过电子邮件域名限制。 解决建议 建议您更新当前系统或软件至最新版,…
systemd uyuni-server-attestation 服务泄露数据库密码(CVE-2024-22037) CVE编号 CVE-2024-22037 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 uyuni-server-attestation的systemd服务需要一个名为database_password的环境变量。该文件权限设置为640,即无法向用户显示其内容,但systemd环境仍然会将该环境暴露给非特权用户。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修…
利用 obs-scm-bridge 中精心设计的 Git 存储库进行 DoS 攻击、信息泄露等(CVE-2024-22038) CVE编号 CVE-2024-22038 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 obs-scm-bridge中存在各种问题,允许攻击者创建特别定制的git仓库来泄露信息并导致拒绝服务。 解决建议 "将组件 openSUSE Factory 升级至 0.5.2 及以上版本" 参考链接 https://bugzilla.suse.com/show_bug…
设置向导中的反射型 XSS、spacewalk-web 中的 HTTP 代理凭据窗格 (CVE-2024-49502) CVE编号 CVE-2024-49502 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在网页生成过程中未适当处理输入(跨站脚本攻击(XSS))漏洞存在于Spacewalk Web的Setup Wizard中的HTTP代理凭据面板,攻击者可以通过提供特别设计的URL链接来攻击用户。这个问题影响了SUSE Container manager的5.0版本(x86_64服务…
安装向导中的反射型 XSS、spacewalk-web 中的组织凭证 (CVE-2024-49503) CVE编号 CVE-2024-49503 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在SUSE manager中,存在一个网页生成过程中输入未适当中和的漏洞(XSS或跨站脚本攻击)。这一漏洞允许攻击者在组织凭据子页面上执行JavaScript代码。该问题影响SUSE manager容器版本5.0.2.7.8.1及以下版本至5.0.15-150600.3.10.2之前的版本;SUS…
CVE
CVE-2024-8672丨Widget Options – 排名第一的 WordPress Widget 和块控制插件 <= 4.0.7 – 经过身份验证 (Contributor+) 远程代码执行
Widget Options – 排名第一的 WordPress Widget 和块控制插件 <= 4.0.7 – 经过身份验证 (Contributor+) 远程代码执行 (CVE-2024-8672) CVE编号 CVE-2024-8672 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 WordPress中的Widget Options——The #1 WordPress Widget & Block Control Plugin插件在4.0.7版本及之前版本中存在远…
WordPress Block Editor Bootstrap Blocks 插件 <= 6.6.1 - 反射跨站点脚本 (XSS) 漏洞 (CVE-2024-11402) CVE编号 CVE-2024-11402 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在网页生成过程中未正确处理输入('跨站脚本'漏洞)的WP-speedup块编辑器Bootstrap块存在反射性跨站脚本攻击(XSS)漏洞。这个问题影响了块编辑器Bootstrap块版本从不适用到6.6.1。 解决建议 建…
WordPress Rank Math SEO 插件 <= 1.0.231 - 任意 .htaccess 覆盖导致远程代码执行 (RCE) 漏洞 (CVE-2024-11620) CVE编号 CVE-2024-11620 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Rank Math SEO中存在不当的代码生成控制('代码注入')漏洞,允许代码注入攻击。这个问题影响版本从不适用到1.0.231的Rank Math SEO。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的…
WordPress Express Payments 插件 <= 1.1.8 - SQL 注入漏洞 (CVE-2024-52474) CVE编号 CVE-2024-52474 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在LLC “TriIncom”快速支付模块中,存在一个特殊元素未适当中和的问题,导致SQL命令中的SQL注入漏洞。这个问题影响了快速支付模块的所有版本,包括从不适用版本到1.1.8版本。该漏洞允许盲SQL注入攻击。 解决建议 建议您更新当前系统或软件至最新版,完…
WordPress Wawp 插件 < 3.0.18 - 帐户接管漏洞 (CVE-2024-52475) CVE编号 CVE-2024-52475 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 自动化网络平台 Wawp 存在一个使用备用路径或通道的认证绕过漏洞。通过此漏洞,攻击者可以绕过认证,影响 Wawp 版本在 3.0.18 之前(含)。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/…
WordPress Jobify 主题 <= 4.2.3 - 未经身份验证的任意文件读取漏洞 (CVE-2024-52481) CVE编号 CVE-2024-52481 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Astoundify Jobify招聘板块WordPress主题存在路径名对受限目录的不当限制(“路径遍历”)漏洞,允许相对路径遍历。这个问题影响Jobify招聘板块WordPress主题版本从不适用至4.2.3。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress Pathomation 插件 <= 2.5.1 - 任意文件上传漏洞 (CVE-2024-52490) CVE编号 CVE-2024-52490 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Pathomation存在漏洞,允许上传危险类型的文件,导致可以上传Web Shell到Web服务器。这个问题影响版本从不适用到2.5.1。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/datab…
WordPress 基于距离的运输计算器插件 <= 2.0.21 - SQL 注入漏洞 (CVE-2024-52495) CVE编号 CVE-2024-52495 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Eniture Technology的基于距离的运费计算器中存在特殊元素未适当中和(Neutralization)的问题,这可能导致SQL注入漏洞。这个问题影响基于距离的运费计算器版本从不适用到2.0.21。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参…
WordPress Absolute Addons For Elementor 插件 <= 1.0.14 - 本地文件包含漏洞 (CVE-2024-52496) CVE编号 CVE-2024-52496 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 PHP程序中包含/引入语句的文件名控制不当(即“PHP远程文件包含”)漏洞存在于AbsolutePlugins的Elementor绝对插件中,可能导致本地代码包含。此问题影响版本从不适用到1.0.14的Elementor绝对插件。 解…
WordPress Shopready 插件 <= 3.5 - 本地文件包含漏洞 (CVE-2024-52497) CVE编号 CVE-2024-52497 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 PHP程序中 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://patchstack.com/database/wordpress/plugin/shopready-elementor-addon/vu...
WordPress SP Blog Designer 插件 <= 1.0.0 - 本地文件包含漏洞 (CVE-2024-52498) CVE编号 CVE-2024-52498 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 路径遍历漏洞:“Softpulse Infotech SP Blog Designer”中存在‘.../...//’漏洞,允许PHP本地文件包含。这个问题影响SP Blog Designer的版本从不适用到1.0.0。 解决建议 建议您更新当前系统或软件至最新版…
WordPress elementor 插件定价表插件 <= 1.0.0 - 本地文件包含漏洞 (CVE-2024-52499) CVE编号 CVE-2024-52499 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在Elementor的Kardi定价表插件中存在一个PHP远程文件包含漏洞(PHP Remote File Inclusion),该漏洞涉及不正确的包含/引入语句的文件名控制问题。这个问题不仅允许PHP远程文件包含,还可能导致本地文件包含问题。该问题影响Elemen…
WordPress Office Locator 插件 <= 1.3.0 - 本地文件包含漏洞 (CVE-2024-52501) CVE编号 CVE-2024-52501 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在webbytemplate的Office Locator中,存在一个PHP程序中包含/引入语句的文件名控制不当('PHP远程文件包含')漏洞。这个问题影响Office Locator的版本从不适用到1.3.0。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞…
WordPress Footer Flyout Widget 插件 <= 1.1 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53732) CVE编号 CVE-2024-53732 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 WordPress中的WOX页脚弹出窗口小部件存在跨站请求伪造(CSRF)漏洞,可能导致存储式跨站脚本攻击(Stored XSS)。此问题影响页脚弹出窗口小部件的版本从不适用到1.1。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修…
WordPress Fence URL 插件 <= 2.0.0 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53733) CVE编号 CVE-2024-53733 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 在网页生成过程中没有对输入进行适当的中和(Neutralization),导致出现了跨站脚本(Cross-site Scripting)漏洞。这个漏洞存在于Rohit Harsh Fence URL中,允许存储式跨站脚本攻击(Stored XSS)。这个问题影…
WordPress Idealien 类别增强插件 <= 1.2 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53734) CVE编号 CVE-2024-53734 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Idealien Studios的Idealien Category Enhancements存在跨站请求伪造(CSRF)漏洞,允许存储式跨站脚本(XSS)。这个问题影响的是Idealien Category Enhancements的版本从不适用到1.2。…
WordPress 自定义短代码侧边栏插件 <= 1.2 - CSRF 到存储型 XSS 漏洞 (CVE-2024-53736) CVE编号 CVE-2024-53736 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Jason Grim自定义短代码侧边栏存在跨站请求伪造(CSRF)漏洞,可能导致存储式跨站脚本(XSS)攻击。这个问题影响的是Custom Shortcode Sidebars版本从不适用到1.2。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考…
WordPress WP Mailster 插件 <= 1.8.16.0 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53737) CVE编号 CVE-2024-53737 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Web页面生成过程中输入未适当中和(Neutralization)的漏洞(“跨站脚本”漏洞)存在于WP Mailster中,导致存储型跨站脚本(XSS)攻击成为可能。这个问题影响的是WP Mailster的版本,从不适用到1.8.16.0版本都存在此问题…
Siempelkamp:由于对 HTTP 请求输入数据处理不当导致 SQL 注入(CVE-2024-8308) CVE编号 CVE-2024-8308 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 由于HTTP请求输入数据处理不当,权限较低的远程攻击者可以插入SQL注入,从而窃取所有数据库数据。 解决建议 "将组件 UmweltOffice 升级至 7.4.3 及以上版本" 参考链接 https://www.syss.de/pentest-blog/sql-injection-in-…
WordPress Fintelligence Calculator 插件 <= 1.0.3 - 跨站点脚本 (XSS) 漏洞 (CVE-2024-53731) CVE编号 CVE-2024-53731 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-28 漏洞描述 Fintelligence Fintelligence Calculator中存在网页生成过程中输入未适当中和的问题(跨站脚本漏洞),允许存储式跨站脚本攻击。这个问题影响Fintelligence Calculator的版本从不适用到…