CVE-2024-7192

CVE-2024-7192

Título es
CVE-2024-7192

Lun, 29/07/2024 – 09:15

Tipo
CWE-434

Gravedad v2.0
6.50

Gravedad 2.0 Txt
MEDIUM

Título en

CVE-2024-7192

Descripción es
Una vulnerabilidad fue encontrada en itsourcecode Society Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/student.php. La manipulación del argumento image conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272613.

Descripción en
A vulnerability, which was classified as critical, was found in itsourcecode Society Management System 1.0. This affects an unknown part of the file /admin/student.php. The manipulation of the argument image leads to unrestricted upload. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-272613 was assigned to this vulnerability.

29/07/2024
29/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Vector CVSS:2.0
AV:N/AC:L/Au:S/C:P/I:P/A:P

Gravedad 3.1 (CVSS 3.1 Base Score)
6.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://github.com/DeepMountains/Mirage/blob/main/CVE7-6.md

  • https://vuldb.com/?ctiid_272613=

  • https://vuldb.com/?id_272613=

  • https://vuldb.com/?submit_380387=

    • Enviar en el boletín
    Off

    CVE-2024-7191

    CVE-2024-7191

    Título es
    CVE-2024-7191

    Lun, 29/07/2024 – 09:15

    Tipo
    CWE-89

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-7191

    Descripción es
    Una vulnerabilidad fue encontrada en itsourcecode Society Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/get_balance.php es afectada por esta vulnerabilidad. La manipulación del argumento Student_id conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272612.

    Descripción en
    A vulnerability, which was classified as critical, has been found in itsourcecode Society Management System 1.0. Affected by this issue is some unknown functionality of the file /admin/get_balance.php. The manipulation of the argument student_id leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-272612.

    29/07/2024
    29/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/DeepMountains/Mirage/blob/main/CVE7-5.md

  • https://vuldb.com/?ctiid_272612=

  • https://vuldb.com/?id_272612=

  • https://vuldb.com/?submit_380386=

    • Enviar en el boletín
    Off

    CVE-2024-7194

    CVE-2024-7194

    Título es
    CVE-2024-7194

    Lun, 29/07/2024 – 10:15

    Tipo
    CWE-89

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-7194

    Descripción es
    Se ha encontrado una vulnerabilidad en itsourcecode Society Management System 1.0 y se ha clasificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo check_student.php. La manipulación del argumento student_id provoca una inyección SQL. El ataque puede iniciarse de forma remota. La vulnerabilidad se ha hecho pública y puede utilizarse. El identificador asociado a esta vulnerabilidad es VDB-272615.

    Descripción en
    A vulnerability was found in itsourcecode Society Management System 1.0 and classified as critical. This issue affects some unknown processing of the file check_student.php. The manipulation of the argument student_id leads to sql injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-272615.

    29/07/2024
    29/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/DeepMountains/Mirage/blob/main/CVE7-1.md

  • https://vuldb.com/?ctiid_272615=

  • https://vuldb.com/?id_272615=

  • https://vuldb.com/?submit_380383=

    • Enviar en el boletín
    Off

    CVE-2024-7193

    CVE-2024-7193

    Título es
    CVE-2024-7193

    Lun, 29/07/2024 – 10:15

    Tipo
    CWE-427

    Gravedad v2.0
    4.30

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-7193

    Descripción es
    Se ha encontrado una vulnerabilidad en Mp3tag hasta la versión 3.26d y se ha clasificado como problemática. Esta vulnerabilidad afecta a código desconocido en la librería tak_deco_lib.dll del componente DLL Handler. La manipulación conduce a una ruta de búsqueda no controlada. Es posible lanzar el ataque en el host local. La vulnerabilidad se ha divulgado al público y puede utilizarse. La actualización a la versión 3.26e puede solucionar este problema. Se recomienda actualizar el componente afectado. VDB-272614 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor tempranamente, respondió de manera muy profesional e inmediatamente lanzó una versión corregida del producto afectado.

    Descripción en
    A vulnerability has been found in Mp3tag up to 3.26d and classified as problematic. This vulnerability affects unknown code in the library tak_deco_lib.dll of the component DLL Handler. The manipulation leads to uncontrolled search path. It is possible to launch the attack on the local host. The exploit has been disclosed to the public and may be used. Upgrading to version 3.26e is able to address this issue. It is recommended to upgrade the affected component. VDB-272614 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early, responded in a very professional manner and immediately released a fixed version of the affected product.

    29/07/2024
    29/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:L/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://app.any.run/tasks/37401db6-5584-4f21-8cc5-73240c4ea2dc/

  • https://community.mp3tag.de/t/mp3tag-development-build-status/455/1

  • https://vuldb.com/?ctiid_272614=

  • https://vuldb.com/?id_272614=

  • https://vuldb.com/?submit_379523=

    • Enviar en el boletín
    Off

    CVE-2024-7185

    CVE-2024-7185

    Título es
    CVE-2024-7185

    Lun, 29/07/2024 – 06:15

    Tipo
    CWE-120

    Gravedad v2.0
    9.00

    Gravedad 2.0 Txt
    HIGH

    Título en

    CVE-2024-7185

    Descripción en
    A vulnerability was found in TOTOLINK A3600R 4.1.2cu.5182_B20201102 and classified as critical. Affected by this issue is the function setWebWlanIdx of the file /cgi-bin/cstecgi.cgi. The manipulation of the argument webWlanIdx leads to buffer overflow. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. VDB-272606 is the identifier assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

    29/07/2024
    29/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:C/I:C/A:C

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/abcdefg-png/IoT-vulnerable/blob/main/TOTOLINK/A3600R/setWebWlanIdx.md

  • https://vuldb.com/?ctiid_272606=

  • https://vuldb.com/?id_272606=

  • https://vuldb.com/?submit_378054=

    • Enviar en el boletín
    Off

    CVE-2024-6487

    CVE-2024-6487

    Título es
    CVE-2024-6487

    Lun, 29/07/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-6487

    Descripción en
    The Inline Related Posts WordPress plugin before 3.8.0 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup)

    29/07/2024
    29/07/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/eeec9608-a7b2-4926-bac2-4c81a65dd473/

    • Enviar en el boletín
    Off

    CVE-2024-6366

    CVE-2024-6366

    Título es
    CVE-2024-6366

    Lun, 29/07/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-6366

    Descripción en
    The User Profile Builder WordPress plugin before 3.11.8 does not have proper authorisation, allowing unauthenticated users to upload media files via the async upload functionality of WP.

    29/07/2024
    29/07/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/5b90cbdd-52cc-4e7b-bf39-bea0dd59e19e/

    • Enviar en el boletín
    Off

    CVE-2024-6362

    CVE-2024-6362

    Título es
    CVE-2024-6362

    Lun, 29/07/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-6362

    Descripción en
    The Ultimate Blocks WordPress plugin before 3.2.0 does not validate and escape some of its post-grid block attributes before outputting them back in a page/post where the block is embed, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks

    29/07/2024
    29/07/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/d2e2d06b-0f07-40b9-9b87-3373f62ae1a9/

    • Enviar en el boletín
    Off

    CVE-2024-5883

    CVE-2024-5883

    Título es
    CVE-2024-5883

    Lun, 29/07/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-5883

    Descripción en
    The Ultimate Classified Listings WordPress plugin before 1.3 does not sanitise and escape a parameter before outputting it back in the page, leading to a Reflected Cross-Site Scripting which could be used against high privilege users such as admin

    29/07/2024
    29/07/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/a1894884-c739-4ef4-8d9c-392171ab3d68/

    • Enviar en el boletín
    Off

    CVE-2024-5882

    CVE-2024-5882

    Título es
    CVE-2024-5882

    Lun, 29/07/2024 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-5882

    Descripción en
    The Ultimate Classified Listings WordPress plugin before 1.3 does not validate the `ucl_page` and `layout` parameters allowing unauthenticated users to access PHP files on the server from the listings page

    29/07/2024
    29/07/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/5e8d7808-8f3e-4fc9-a1e7-e108da031ca7/

    • Enviar en el boletín
    Off