CVE-2024-46382

CVE-2024-46382

Título es
CVE-2024-46382

Jue, 19/09/2024 – 13:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-46382

Descripción en
A SQL injection vulnerability in linlinjava litemall 1.8.0 allows a remote attacker to obtain sensitive information via the goodsId, goodsSn, and name parameters in AdminGoodscontroller.java.

19/09/2024
19/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://github.com/linlinjava/litemall/issues/552

    • Enviar en el boletín
    Off

    CVE-2024-8986

    CVE-2024-8986

    Título es
    CVE-2024-8986

    Jue, 19/09/2024 – 11:15

    Tipo
    CWE-522

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-8986

    Descripción es
    El SDK del complemento Grafana incluye metadatos de compilación en los binarios que compila; estos metadatos incluyen el URI del repositorio para el complemento que se está compilando, tal como se obtiene al ejecutar `git remote get-url origin`. Si se incluyen credenciales en el URI del repositorio (por ejemplo, para permitir la obtención de dependencias privadas), el binario final contendrá el URI completo, incluidas dichas credenciales.

    Descripción en
    The grafana plugin SDK bundles build metadata into the binaries it compiles; this metadata includes the repository URI for the plugin being built, as retrieved by running `git remote get-url origin`.

    If credentials are included in the repository URI (for instance, to allow for fetching of private dependencies), the final binary will contain the full URI, including said credentials.

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://grafana.com/security/security-advisories/cve-2024-8986/

    • Enviar en el boletín
    Off

    CVE-2024-8354

    CVE-2024-8354

    Título es
    CVE-2024-8354

    Jue, 19/09/2024 – 11:15

    Tipo
    CWE-617

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-8354

    Descripción es
    Se encontró una falla en QEMU. Se produjo un error de aserción en la función usb_ep_get() en hw/net/core.c al intentar obtener el endpoint USB de un dispositivo USB. Esta falla puede permitir que un usuario invitado malintencionado y sin privilegios bloquee el proceso QEMU en el host y provoque una condición de denegación de servicio.

    Descripción en
    A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

    19/09/2024
    19/09/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.70

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://access.redhat.com/security/cve/CVE-2024-8354

  • https://bugzilla.redhat.com/show_bug.cgi?id=2313497

    • Enviar en el boletín
    Off

    CVE-2024-45770

    CVE-2024-45770

    Título es
    CVE-2024-45770

    Jue, 19/09/2024 – 09:15

    Tipo
    CWE-59

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-45770

    Descripción es
    Se encontró una vulnerabilidad en Performance Co-Pilot (PCP). Esta falla solo se puede explotar si un atacante tiene acceso a una cuenta de sistema PCP comprometida. El problema está relacionado con la herramienta pmpost, que se utiliza para registrar mensajes en el sistema. En determinadas condiciones, se ejecuta con privilegios de alto nivel.

    Descripción en
    A vulnerability was found in Performance Co-Pilot (PCP). This flaw can only be exploited if an attacker has access to a compromised PCP system account. The issue is related to the pmpost tool, which is used to log messages in the system. Under certain conditions, it runs with high-level privileges.

    19/09/2024
    19/09/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://access.redhat.com/security/cve/CVE-2024-45770

  • https://bugzilla.redhat.com/show_bug.cgi?id=2310451

    • Enviar en el boletín
    Off

    CVE-2024-45769

    CVE-2024-45769

    Título es
    CVE-2024-45769

    Jue, 19/09/2024 – 09:15

    Tipo
    CWE-787

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-45769

    Descripción es
    Se encontró una vulnerabilidad en Performance Co-Pilot (PCP). Esta falla permite que un atacante envíe datos especialmente manipulados al sistema, lo que podría provocar que el programa funcione mal o se bloquee.

    Descripción en
    A vulnerability was found in Performance Co-Pilot (PCP).  This flaw allows an attacker to send specially crafted data to the system, which could cause the program to misbehave or crash.

    19/09/2024
    19/09/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://access.redhat.com/security/cve/CVE-2024-45769

  • https://bugzilla.redhat.com/show_bug.cgi?id=2310452

    • Enviar en el boletín
    Off

    CVE-2024-46946

    CVE-2024-46946

    Título es
    CVE-2024-46946

    Jue, 19/09/2024 – 05:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-46946

    Descripción en
    langchain_experimental (aka LangChain Experimental) 0.1.17 through 0.3.0 for LangChain allows attackers to execute arbitrary code through sympy.sympify (which uses eval) in LLMSymbolicMathChain. LLMSymbolicMathChain was introduced in fcccde406dd9e9b05fc9babcbeb9ff527b0ec0c6 (2023-10-05).

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://cwe.mitre.org/data/definitions/95.html

  • https://docs.sympy.org/latest/modules/codegen.html

  • https://gist.github.com/12end/68c0c58d2564ef4141bccd4651480820#file-cve-2024-46946-txt

  • https://github.com/langchain-ai/langchain/releases/tag/langchain-experimental%3D%3D0.3.0

    • Enviar en el boletín
    Off

    CVE-2024-47085

    CVE-2024-47085

    Título es
    CVE-2024-47085

    Jue, 19/09/2024 – 06:15

    Tipo
    CWE-359

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-47085

    Descripción en
    This vulnerability exists in Apex Softcell LD DP Back Office due to improper validation of certain parameters “cCdslClicentcode” and “cLdClientCode” in the API endpoint. An authenticated remote attacker could exploit this vulnerability by manipulating parameters in the API request body leading to exposure of sensitive information belonging to other users.

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0296

    • Enviar en el boletín
    Off

    CVE-2024-47086

    CVE-2024-47086

    Título es
    CVE-2024-47086

    Jue, 19/09/2024 – 06:15

    Tipo
    CWE-302

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-47086

    Descripción en
    This vulnerability exists in Apex Softcell LD DP Back Office due to improper implementation of OTP validation mechanism in certain API endpoints. An authenticated remote attacker could exploit this vulnerability by providing arbitrary OTP value for authentication and subsequently changing its API response.

    Successful exploitation of this vulnerability could allow the attacker to bypass OTP verification for other user accounts.

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0296

    • Enviar en el boletín
    Off

    CVE-2024-47089

    CVE-2024-47089

    Título es
    CVE-2024-47089

    Jue, 19/09/2024 – 07:15

    Tipo
    CWE-354

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-47089

    Descripción en
    This vulnerability exists in the Apex Softcell LD Geo due to improper validation of the transaction token ID in the API endpoint. An authenticated remote attacker could exploit this vulnerability by manipulating the transaction token ID in the API request leading to unauthorized access and modification of transactions belonging to other users.

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0296

    • Enviar en el boletín
    Off

    CVE-2024-47088

    CVE-2024-47088

    Título es
    CVE-2024-47088

    Jue, 19/09/2024 – 07:15

    Tipo
    CWE-307

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-47088

    Descripción en
    This vulnerability exists in Apex Softcell LD Geo due to missing restrictions for excessive failed authentication attempts on its API based login. A remote attacker could exploit this vulnerability by conducting a brute force attack on login OTP, which could lead to gain unauthorized access to other user accounts.

    19/09/2024
    19/09/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2024-0296

    • Enviar en el boletín
    Off