CVE-2024-27181

CVE-2024-27181

Título es
CVE-2024-27181

Vie, 02/08/2024 – 10:15

Tipo
CWE-269

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-27181

Descripción es
En Apache Linkis <= 1.5.0, la escalada de privilegios en los servicios de administración básicos donde el usuario atacante es una cuenta de confianza permite el acceso a la información del token de Linkis. Se recomienda a los usuarios actualizar a la versión 1.6.0, que soluciona este problema.

Descripción en
In Apache Linkis

02/08/2024
02/08/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://lists.apache.org/thread/hosd73l7hxb3rpt5rb0yg0ld11zph4c6

    • Enviar en el boletín
    Off

    CVE-2024-4643

    CVE-2024-4643

    Título es
    CVE-2024-4643

    Vie, 02/08/2024 – 10:16

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-4643

    Descripción es
    El complemento Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'end_redirect_link' en versiones hasta la 5.7.1 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

    Descripción en
    The Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘end_redirect_link’ parameter in versions up to, and including, 5.7.1 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with contributor-level permissions and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/browser/bdthemes-element-pack-lite/trunk/modules/countdown/widgets/countdown.php#L2501

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/0f281ef5-bb2e-42f9-be51-6f7bd3069f59?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-40719

    CVE-2024-40719

    Título es
    CVE-2024-40719

    Vie, 02/08/2024 – 10:16

    Tipo
    CWE-326

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-40719

    Descripción es
    La seguridad de cifrado de las claves de autorización en CHANGING Information Technology TCBServiSign Windows Version es insuficiente. Cuando un atacante remoto engaña a una víctima para que visite un sitio web malicioso, TCBServiSign tratará ese sitio web como un servidor legítimo e interactuará con él.

    Descripción en
    The encryption strength of the authorization keys in CHANGING Information Technology TCBServiSign Windows Version is insufficient. When a remote attacker tricks a victim into visiting a malicious website, TCBServiSign will treat that website as a legitimate server and interact with it.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.twcert.org.tw/en/cp-139-7970-e8ac5-2.html

  • https://www.twcert.org.tw/tw/cp-132-7964-5b266-1.html

    • Enviar en el boletín
    Off

    CVE-2024-36268

    CVE-2024-36268

    Título es
    CVE-2024-36268

    Vie, 02/08/2024 – 10:16

    Tipo
    CWE-94

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-36268

    Descripción es
    Vulnerabilidad de control inadecuado de la generación de código ('inyección de código') en Apache InLong. Este problema afecta a Apache InLong: desde la versión 1.10.0 hasta la 1.12.0, lo que podría provocar la ejecución remota de código. Se recomienda a los usuarios que actualicen a la versión 1.13.0 de Apache InLong o seleccionen la que más les convenga [1] para resolverlo. [1] https://github.com/apache/inlong/pull/10251

    Descripción en
    Improper Control of Generation of Code ('Code Injection') vulnerability in Apache InLong.

    This issue affects Apache InLong: from 1.10.0 through 1.12.0, which could lead to Remote Code Execution. Users are advised to upgrade to Apache InLong's 1.13.0 or cherry-pick [1] to solve it.

    [1]  https://github.com/apache/inlong/pull/10251

    02/08/2024
    02/08/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://lists.apache.org/thread/1w1yp1bg5sjvn46dszkf00tz1vfs0frc

    • Enviar en el boletín
    Off

    CVE-2024-27182

    CVE-2024-27182

    Título es
    CVE-2024-27182

    Vie, 02/08/2024 – 10:16

    Tipo
    CWE-552

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-27182

    Descripción es
    En Apache Linkis <= 1.5.0, la eliminación arbitraria de archivos en los servicios de administración básicos puede provocar que un usuario con una cuenta de administrador elimine cualquier archivo al que tenga acceso el usuario del sistema Linkis. Se recomienda a los usuarios que actualicen a la versión 1.6.0, que soluciona este problema.

    Descripción en
    In Apache Linkis

    02/08/2024
    02/08/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://lists.apache.org/thread/2of1p433h8rbq2bx525rtftnk19oz38h

    • Enviar en el boletín
    Off

    CVE-2024-7389

    CVE-2024-7389

    Título es
    CVE-2024-7389

    Vie, 02/08/2024 – 05:15

    Tipo
    CWE-522

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-7389

    Descripción en
    The Forminator plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.29.1 via class-forminator-addon-hubspot-wp-api.php. This makes it possible for unauthenticated attackers to extract the HubSpot integration developer API key and make unauthorized changes to the plugin's HubSpot integration or expose personally identifiable information from plugin users using the HubSpot integration.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://developers.hubspot.com/docs/api/webhooks#manage-settings-via-api

  • https://developers.hubspot.com/docs/api/webhooks#scopes

  • https://plugins.trac.wordpress.org/changeset/3047085/forminator/trunk/addons/pro/hubspot/lib/class-forminator-addon-hubspot-wp-api.php

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/0d04b822-a48a-485e-b9b5-f5a213307c71?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-3827

    CVE-2024-3827

    Título es
    CVE-2024-3827

    Vie, 02/08/2024 – 06:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-3827

    Descripción en
    The Spectra Pro plugin for WordPress is vulnerable to Stored Cross-Site Scripting via block ids in all versions up to, and including, 1.1.4 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://wpspectra.com/product/spectra-pro/#spectra-pro-1-1-5-released

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/3fb6123c-2891-4cfd-8d68-a922c30d7600?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-5595

    CVE-2024-5595

    Título es
    CVE-2024-5595

    Vie, 02/08/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-5595

    Descripción en
    The Essential Blocks WordPress plugin before 4.7.0 does not validate and escape some of its block options before outputting them back in a page/post where the block is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks

    02/08/2024
    02/08/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/f2b8f092-4fc0-4edc-ba0f-d4312c2e5dec/

    • Enviar en el boletín
    Off

    CVE-2024-7377

    CVE-2024-7377

    Título es
    CVE-2024-7377

    Vie, 02/08/2024 – 02:15

    Tipo
    CWE-89

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-7377

    Descripción en
    A vulnerability has been found in SourceCodester Simple Realtime Quiz System 1.0 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /view_result.php. The manipulation of the argument qid leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-273361 was assigned to this vulnerability.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://gist.github.com/topsky979/4415a08deadd16356484d5ff540e60f9

  • https://vuldb.com/?ctiid_273361=

  • https://vuldb.com/?id_273361=

  • https://vuldb.com/?submit_383525=

    • Enviar en el boletín
    Off

    CVE-2024-7376

    CVE-2024-7376

    Título es
    CVE-2024-7376

    Vie, 02/08/2024 – 02:15

    Tipo
    CWE-89

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-7376

    Descripción en
    A vulnerability, which was classified as critical, was found in SourceCodester Simple Realtime Quiz System 1.0. Affected is an unknown function of the file /print_quiz_records.php. The manipulation of the argument id leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-273360.

    02/08/2024
    02/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://gist.github.com/topsky979/8c36e6a899fc02e8054f67b94e34f6c6

  • https://vuldb.com/?ctiid_273360=

  • https://vuldb.com/?id_273360=

  • https://vuldb.com/?submit_383524=

    • Enviar en el boletín
    Off