CVE's Trending
Laatste update: 06-12-2024 | CVE's Trending
Top 10 CVE's Trending op Sociale Media
De laatste 24 uur zijn er verschillende kritieke kwetsbaarheden (CVE's) trending op sociale media.
De 'hype score' is een cijfer tussen 0 en 100 dat de mate van belangstelling voor een bepaalde kwetsbaarheid (CVE) weergeeft. Het wordt berekend op basis van hoe vaak en in welke mate de kwetsbaarheid wordt besproken in verschillende bronnen, zoals sociale media, nieuwsberichten en andere openbare platforms. Hoe hoger de score, hoe meer aandacht de kwetsbaarheid krijgt, wat kan wijzen op een grotere urgentie of ernst van de dreiging. Deze score helpt beveiligingsteams snel te begrijpen welke kwetsbaarheden potentieel grotere risico's vormen en of ze snel moeten handelen.
# | Trending | Hype-score | Gepubliceerd | Beschrijving |
---|---|---|---|---|
# | Trending | Hype-score | Gepubliceerd | Beschrijving |
1 | CVE-2024-53982 | High 8.7 | Dec 4, 2024 | ZOO-Project is een C-gebaseerde WPS (Web Processing Service) implementatie. Een pad-traversal kwetsbaarheid werd ontdekt in de Echo voorbeeld van Zoo-Project. Dit voorbeeld implementeert bestandscaching, wat kan worden gecontroleerd door gebruikersparameters. Er wordt geen inputvalidatie uitgevoerd, waardoor een aanvaller de bestanden volledig kan controleren die in de respons worden teruggegeven. Patches zijn gecommit op 22 november 2024. |
2 | CVE-2024-38193 | High 7.8 | Aug 13, 2024 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability. |
3 | CVE-2024-35286 | Critical 9.8 | Oct 21, 2024 | Een kwetsbaarheid in NuPoint Messenger (NPM) van Mitel MiCollab tot versie 9.8.0.33 stelt een niet-geauthenticeerde aanvaller in staat een SQL-injectie-aanval uit te voeren door onvoldoende sanitatie van gebruikersinvoer. Een succesvolle exploit kan gevoelige informatie blootleggen en willekeurige database- en beheerbewerkingen uitvoeren. |
4 | CVE-2024-11680 | Critical 9.8 | Nov 26, 2024 | ProjectSend versies voor r1720 vertonen een onjuiste authenticatiekwetsbaarheid. Externe, niet-geauthenticeerde aanvallers kunnen deze kwetsbaarheid uitbuiten door gemanipuleerde HTTP-verzoeken naar opties.php te sturen, waarmee ongeautoriseerde wijzigingen in de configuratie van de applicatie kunnen worden doorgevoerd. Een succesvolle exploit maakt het mogelijk accounts aan te maken, webshells te uploaden en kwaadaardige JavaScript in te voegen. |
5 | CVE-2024-42327 | Critical 9.9 | Nov 27, 2024 | Een niet-admin gebruiker op de Zabbix frontend met de standaard gebruikersrol, of andere rollen die toegang geven tot de API, kan deze kwetsbaarheid misbruiken. Er is een SQL-injectie in de CUser-klasse in de functie addRelatedObjects, die wordt aangeroepen vanuit de functie CUser.get, die beschikbaar is voor elke gebruiker met API-toegang. |
6 | CVE-2024-3400 | Critical 10.0 | Apr 12, 2024 | Een commando-injectie als gevolg van kwetsbaarheid in de GlobalProtect-functie van Palo Alto Networks PAN-OS-software voor specifieke versies van PAN-OS en configuraties. Een aanvaller kan zonder authenticatie willekeurige code uitvoeren met root-privileges op de firewall. Cloud NGFW, Panorama-apparaten en Prisma Access worden niet beïnvloed door deze kwetsbaarheid. |
7 | CVE-2024-8504 | High 8.8 | Sep 10, 2024 | Een aanvaller met geauthenticeerde toegang tot VICIdial als "agent" kan willekeurige shell-commando's uitvoeren als de "root" gebruiker. Deze aanval kan worden gecombineerd met CVE-2024-8503 om willekeurige shell-commando's uit te voeren vanaf een niet-geauthenticeerde positie. |
8 | CVE-2024-51378 | Critical 10.0 | Oct 29, 2024 | De functie getresetstatus in dns/views.py en ftp/views.py in CyberPanel (voor versie 1c0c6cb) laat remote aanvallers toe authenticatie te omzeilen en willekeurige commando's uit te voeren via /dns/getresetstatus of /ftp/getresetstatus. De kwetsbaarheid maakt het mogelijk om shell-karakters te gebruiken in de statusfile-eigenschap, die misbruikt werd in oktober 2024 door PSAUX. Versies tot en met 2.3.6 en (ongepachte) 2.3.7 worden beïnvloed. |
9 | CVE-2024-42448 | Not available in NVD | ||
10 | CVE-2024-10905 | Critical 10.0 | Dec 2, 2024 | IdentityIQ 8.4 en alle versies van 8.4 tot en met 8.4p2, IdentityIQ 8.3 tot en met 8.3p5, IdentityIQ 8.2 tot en met 8.2p8 en alle voorgaande versies laten HTTP-toegang tot statische inhoud in de IdentityIQ-applicatiemap, die beschermd zou moeten worden. |