CVE-2024-7690

CVE-2024-7690

Título es
CVE-2024-7690

Lun, 02/09/2024 – 08:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-7690

Descripción es
El complemento DN Popup de WordPress hasta la versión 1.2.2 no tiene una verificación CSRF activada al actualizar sus configuraciones, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión las cambie mediante un ataque CSRF.

Descripción en
The DN Popup WordPress plugin through 1.2.2 does not have CSRF check in place when updating its settings, which could allow attackers to make a logged in admin change them via a CSRF attack

02/09/2024
02/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://wpscan.com/vulnerability/1f941d51-1eaf-424a-95b8-ccaa3fdd339b/

    • Enviar en el boletín
    Off

    CVE-2024-7354

    CVE-2024-7354

    Título es
    CVE-2024-7354

    Lun, 02/09/2024 – 08:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-7354

    Descripción es
    El complemento Ninja Forms de WordPress anterior a la versión 3.8.11 no escapa una URL antes de mostrarla nuevamente en un atributo, lo que genera un error de Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.

    Descripción en
    The Ninja Forms WordPress plugin before 3.8.11 does not escape an URL before outputting it back in an attribute, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/3c871dcd-51d7-4d3b-b036-efa9e066ff41/

    • Enviar en el boletín
    Off

    CVE-2024-41160

    CVE-2024-41160

    Título es
    CVE-2024-41160

    Lun, 02/09/2024 – 05:15

    Tipo
    CWE-416

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-41160

    Descripción en
    in OpenHarmony v4.1.0 and prior versions allow a local attacker cause the common permission is upgraded to root and sensitive information leak through use after free.

    02/09/2024
    02/09/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://gitee.com/openharmony/security/blob/master/zh/security-disclosure/2024/2024-09.md

    • Enviar en el boletín
    Off

    CVE-2024-8365 | INCIBE-CERT | INCIBE

    Descripción

    *** Pendiente de traducción *** Vault Community Edition and Vault Enterprise experienced a regression where functionality that HMAC’d sensitive headers in the configured audit device, specifically client tokens and token accessors, was removed. This resulted in the plaintext values of client tokens and token accessors being stored in the audit log. This vulnerability, CVE-2024-8365, was fixed in Vault Community Edition and Vault Enterprise 1.17.5 and Vault Enterprise 1.16.9.

    CVE-2024-7871

    CVE-2024-7871

    Título es
    CVE-2024-7871

    Lun, 02/09/2024 – 05:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-7871

    Descripción en
    SQL Injection in online dictionary function of Easytest Online Test Platform ver.24E01 and earlier allow remote authenticated users to execute arbitrary SQL commands via the word parameter.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://zuso.ai/advisory/za-2024-04

    • Enviar en el boletín
    Off

    CVE-2024-45528

    CVE-2024-45528

    Título es
    CVE-2024-45528

    Lun, 02/09/2024 – 05:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-45528

    Descripción en
    CodeAstro MembershipM-PHP (aka Membership Management System in PHP) 1.0 allows add_members.php fullname stored XSS.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://github.com/ShellFighter/VulnerabilityResearch/blob/main/MMS.md

    • Enviar en el boletín
    Off

    CVE-2024-45527

    CVE-2024-45527

    Título es
    CVE-2024-45527

    Lun, 02/09/2024 – 05:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-45527

    Descripción en
    REDCap 14.7.0 allows HTML injection via the project title of a New Project action. This can lead to resultant logout CSRF via index.php?logout=1, and can also be used to insert a link to an external phishing website.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://github.com/ShellFighter/Reports/blob/main/Vanderbilt%20REDCap%2014.7.0.md

  • https://www.evms.edu/research/resources_services/redcap/redcap_change_log/

    • Enviar en el boletín
    Off

    CVE-2024-43776

    CVE-2024-43776

    Título es
    CVE-2024-43776

    Lun, 02/09/2024 – 05:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-43776

    Descripción en
    SQL Injection in mock exam function of Easytest Online Test Platform ver.24E01 and earlier allow remote authenticated users to execute arbitrary SQL commands via the qlevel parameter.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://zuso.ai/advisory/za-2024-09

    • Enviar en el boletín
    Off

    CVE-2024-43774

    CVE-2024-43774

    Título es
    CVE-2024-43774

    Lun, 02/09/2024 – 05:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-43774

    Descripción en
    SQL Injection in download personal learning course function of Easytest Online Test Platform ver.24E01 and earlier allow remote authenticated users to execute arbitrary SQL commands via the uid parameter.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://zuso.ai/advisory/za-2024-07

    • Enviar en el boletín
    Off

    CVE-2024-43775

    CVE-2024-43775

    Título es
    CVE-2024-43775

    Lun, 02/09/2024 – 05:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-43775

    Descripción en
    SQL Injection in search course titles function of Easytest Online Test Platform ver.24E01 and earlier allow remote authenticated users to execute arbitrary SQL commands via the search parameter.

    02/09/2024
    02/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://zuso.ai/advisory/za-2024-08

    • Enviar en el boletín
    Off