Foxit PDF 阅读器 PDF 文件解析越界写入远程代码执行漏洞 (CVE-2024-9248) CVE编号 CVE-2024-9248 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器PDF文件解析越界写入远程代码执行漏洞。该漏洞允许远程攻击者在安装了受影响的福昕PDF阅读器的系统上执行任意代码。要利用此漏洞,需要用户与恶意页面进行交互或打开恶意文件。该漏洞具体存在于PDF文件的解析过程中。问题源于对用户提供的验证不当,这可能导致写入超出已分配缓冲区的末尾。攻击者可…
Foxit PDF Reader代码执行漏洞(CVE-2024-9249) CVE编号 CVE-2024-9249 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 Foxit PDF Reader是一款PDF文档阅读器和打印器,拥有快捷的启动速度和丰富的功能。Foxit PDF Reader存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.foxit.com/support/sec…
Foxit PDF Reader代码执行漏洞(CVE-2024-9250) CVE编号 CVE-2024-9250 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 Foxit PDF Reader是一款PDF文档阅读器和打印器,拥有快捷的启动速度和丰富的功能。Foxit PDF Reader存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.foxit.com/support/sec…
Foxit PDF 阅读器注释使用后释放信息泄露漏洞 (CVE-2024-9251) CVE编号 CVE-2024-9251 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器标注使用后的自由信息披露漏洞。该漏洞允许远程攻击者在受影响的福昕PDF阅读器安装上披露敏感信息。要利用此漏洞,需要用户与目标进行交互,即目标必须访问恶意页面或打开恶意文件。具体漏洞存在于处理注释对象的过程中。该问题源于在对象上执行操作之前未验证对象的存在。攻击者可以与其他漏洞结合利用此漏洞,在当前进程…
Foxit PDF Reader AcroForm 释放后使用信息泄露漏洞 (CVE-2024-9252) CVE编号 CVE-2024-9252 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器中的AcroForm使用后自由信息披露漏洞。该漏洞允许远程攻击者在受影响的福昕PDF阅读器安装上披露敏感信息。要利用此漏洞,需要用户与恶意页面进行交互或打开恶意文件。具体漏洞存在于AcroForm的处理过程中。该问题源于在执行对象操作之前没有验证对象是否存在。攻击者可以与其他漏洞…
Foxit PDF Reader AcroForm 越界读取信息泄露漏洞 (CVE-2024-9253) CVE编号 CVE-2024-9253 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器(Foxit PDF Reader)存在AcroForm越界读取信息披露漏洞。这一漏洞允许远程攻击者在受影响的福昕PDF阅读器安装上披露敏感信息。要利用这一漏洞,需要用户与恶意页面交互或打开恶意文件。该漏洞具体存在于AcroForm的处理过程中。问题源于对用户提供数据的验证不足,可…
Foxit PDF 阅读器注释释放后使用远程代码执行漏洞 (CVE-2024-9254) CVE编号 CVE-2024-9254 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器标注使用后的自由远程代码执行漏洞。该漏洞允许远程攻击者在安装了受影响版本的福昕PDF阅读器的系统上执行任意代码。要利用此漏洞,需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于处理注释对象的过程中。该问题是由于在对象上执行操作之前缺乏对对象存在的验证而导致的。攻击者可以利用此漏洞在当前进程…
Foxit PDF 阅读器注释释放后使用远程代码执行漏洞 (CVE-2024-9255) CVE编号 CVE-2024-9255 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器标注使用后的自由远程代码执行漏洞。该漏洞允许远程攻击者在安装了受影响的福昕PDF阅读器上执行任意代码。要利用此漏洞,需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于标注对象处理过程中。该问题源于在对象上执行操作之前缺乏对对象存在的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。该…
Foxit PDF Reader AcroForm 越界读取信息泄露漏洞 (CVE-2024-9256) CVE编号 CVE-2024-9256 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 福昕PDF阅读器(Foxit PDF Reader)中的AcroForm存在越界读取信息披露漏洞。这一漏洞允许远程攻击者在受影响的福昕PDF阅读器安装上披露敏感信息。要利用这一漏洞,需要用户与恶意页面进行交互或打开恶意文件。具体漏洞存在于AcroForm的处理过程中。该问题源于对用户提供数据的验证…
IrfanView SID 文件解析未初始化指针远程代码执行漏洞 (CVE-2024-9258) CVE编号 CVE-2024-9258 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IrfanView的SID文件解析未初始化指针远程代码执行漏洞。该漏洞允许远程攻击者在受影响的IrfanView安装上执行任意代码。要利用此漏洞,需要用户与目标进行交互,即目标必须访问恶意页面或打开恶意文件。该漏洞具体存在于SID文件的解析过程中。问题源于在访问指针之前未对其进行适当的初始化。攻击者可以利…
IrfanView SID 文件解析越界写入远程代码执行漏洞 (CVE-2024-9259) CVE编号 CVE-2024-9259 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IrfanView的SID文件解析越界写入远程代码执行漏洞。这个漏洞允许远程攻击者在安装了受影响版本的IrfanView的设备上执行任意代码。为了利用这个漏洞,用户需要和目标进行交互,目标必须访问恶意页面或打开恶意文件。这个特定的漏洞存在于SID文件的解析过程中。问题源于对用户提供的数据的验证不当,这可能导致…
IrfanView SID 文件解析越界写入远程代码执行漏洞 (CVE-2024-9260) CVE编号 CVE-2024-9260 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IrfanView的SID文件解析越界写入远程代码执行漏洞。这个漏洞允许远程攻击者在安装了受影响版本的IrfanView的设备上执行任意代码。为了利用这个漏洞,用户需要与目标进行交互,即用户必须访问恶意页面或打开恶意文件。这个特定的漏洞存在于SID文件的解析过程中。问题源于对用户提供的数据的验证不足,这可能导…
IrfanView SID 文件解析基于堆栈的缓冲区溢出远程代码执行漏洞 (CVE-2024-9261) CVE编号 CVE-2024-9261 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IrfanView的SID文件解析栈缓冲区溢出远程代码执行漏洞。该漏洞允许远程攻击者在安装了受影响版本的IrfanView的设备上执行任意代码。要利用此漏洞,需要用户与恶意页面或恶意文件进行交互。具体漏洞存在于解析SID文件的过程中。问题在于在将数据复制到基于栈的缓冲区之前,没有对用户提供的数据长…
IrfanView SID 文件解析越界读取远程代码执行漏洞 (CVE-2024-9767) CVE编号 CVE-2024-9767 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 以下是漏洞描述的中文描述:IrfanView的SID文件解析越界读取远程代码执行漏洞。这一漏洞允许远程攻击者在安装了受影响版本的IrfanView的系统上执行任意代码。要利用这一漏洞,需要用户与恶意页面进行交互或打开恶意文件。具体的漏洞存在于解析SID文件的过程中。问题源于对用户提供的数据缺乏适当的验证,这可…
mySCADA myPRO 身份验证不当(CVE-2024-45369) CVE编号 CVE-2024-45369 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 该web应用程序使用脆弱的身份验证机制来验证请求是否来自经过身份验证和授权的资源。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07
mySCADA myPRO 缺少关键功能的身份验证(CVE-2024-47138) CVE编号 CVE-2024-47138 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 默认情况下,管理界面通过TCP端口监听所有接口,在访问时不需要进行身份验证。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07
mySCADA myPRO OS 命令注入 (CVE-2024-47407) CVE编号 CVE-2024-47407 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 命令中的一个参数未能正确验证myPRO Manager中的输入,可能会被未经身份验证的远程攻击者利用来注入任意操作系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07
mySCADA myPRO 路径遍历(CVE-2024-50054) CVE编号 CVE-2024-50054 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 后端没有对用户控制的文件名参数进行足够的验证,这使得攻击者有可能进行路径遍历攻击并从文件系统中检索任意文件。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07
mySCADA myPRO OS 命令注入 (CVE-2024-52034) CVE编号 CVE-2024-52034 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 我的PRO管理器存在一个操作系统命令注入漏洞。未经身份验证的远程攻击者可以利用命令中的参数来注入任意操作系统命令。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.cisa.gov/news-events/ics-advisories/icsa-24-326-07
pulseaudio 安全漏洞 (CVE-2024-11586) CVE编号 CVE-2024-11586 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 当连接蓝牙耳麦时,Ubuntu的pulsaudio实现可能会被恶意程序攻击导致崩溃。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://bugs.launchpad.net/ubuntu/+source/pulseaudio/+bug/2078822 https://www.cve.org/C…
IBM Db2 拒绝服务(CVE-2024-41761) CVE编号 CVE-2024-41761 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 IBM Db2 for Linux、UNIX 和 Windows(包括 Db2 Connect Server)版本 10.5、11.1 和 11.5 存在拒绝服务漏洞,某些情况下,服务器可能会因特殊构造的查询而崩溃。 解决建议 建议您更新当前系统或软件至最新版,完成漏洞的修复。 参考链接 https://www.ibm.com/suppor…
Twitter 关注按钮 <= 0.2 - 通过用户名参数进行身份验证 (Contributor+) 存储跨站点脚本 (CVE-2024-10116) CVE编号 CVE-2024-10116 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 WordPress的Twitter关注按钮插件存在存储型跨站脚本漏洞,该漏洞存在于所有版本(包括0.2版本)中的“用户名”参数中,由于输入清理和输出转义不足导致。这使得拥有贡献者级别及以上访问权限的认证攻击者能够在页面中注入任意网页脚本,每当用…
WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对 Carbon Fields 自定义侧边栏添加/删除的授权 (CVE-2024-10216) CVE编号 CVE-2024-10216 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 WordPress插件WP User Manager(用户资料构建与管理插件)在版本2.9.11及其之前的所有版本中,存在数据未经授权修改的风险。原因是缺少对'add_sidebar'和'remove_sidebar'功…
WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对经过身份验证的(订阅者+)用户元密钥枚举的授权(CVE-2024-10537) CVE编号 CVE-2024-10537 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 WordPress插件WP User Manager的用户资料构建和会员功能存在漏洞,可能导致未经授权的访问数据。该漏洞出现在validate_user_meta_key()函数中缺少权限检查,影响所有版本至包括2.9.11。这使得拥…
CodeAstrology 的 WooCommerce 产品表 (wooproducttable.com) <= 3.5.1 - 信息泄露 (CVE-2024-10813) CVE编号 CVE-2024-10813 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-23 漏洞描述 WooCommerce的CodeAstrology产品表(wooproducttable.com)插件存在敏感信息泄露漏洞,该漏洞存在于所有版本至包括版本3.5.1,通过var_dump_table参数触发。这使得未经身份…