ServiceNow Glide表达式注入漏洞

ServiceNow 是一个商业的软件平台，专注于企业的数字化工作流和IT服务管理（ITSM）。ServiceNow Glide 是 ServiceNow 平台中的一组API和工具，用于在服务门户中创建服务请求和脚本。 受影响版本中，由于 GlideExpressionScript 类未对用户可控的代码有效过滤，未经授权的远程攻击者可在向 /login.do 接口传入包含恶意表达式的jvar\_page\_title参数远程执行任意代码。

金斗云 HKMP智慧商业软件 任意文件下载漏洞

暂无

同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞

暂无

Microsoft SharePoint 远程代码执行漏洞(CVE-2024-38094)

该漏洞允许远程用户在目标系统上执行任意代码。该漏洞是由于在 Microsoft SharePoint 中处理序列化数据时输入验证不安全而导致的。远程管理员可以将特制数据传递给应用程序并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。

Gitlab 存在 Pipeline 任意用户执行风险(CVE-2024-5762绕过)

GitLab 是基于Git的集成软件开发平台，Pipeline 是自动化的工作流，用于在代码库修改时自动化执行任务。 由于对 CVE\-2024\-5762 的修复不充分，如果目标分支已被删除，当目标Gitlab仓库合并攻击者可控的Merge Request时可以其它用户的身份运行 Pipeline，导致信息泄露或未授权的代码执行。 补丁版本当检测到目标分支被删时不自动创建新的 Pipeline，触发合并检查修复此漏洞。