内推 | 上海奇安信渗透测试岗火热招聘中
内推 | 上海奇安信渗透测试岗火热招聘中 助力行业的 Timeline Sec 2025-01-15 10:11 当下,我们所处的行业正面临着不少挑战与变数。经济的不景气、市场的波动,让许多岗位显得摇摇欲坠,人心惶惶。然而,即便是在这个寒冬来袭的时刻,我们并非孤军奋战。 TimelineSec会多发一些内推岗位,帮助 更多的粉丝朋友们更快找到适合自己的岗位!共同度过难关!(如需发布岗位,可联系作者
继续阅读作者: cve-20
涉及161个漏洞!微软发布2025年1月补丁日安全通告
涉及161个漏洞!微软发布2025年1月补丁日安全通告 你信任的 亚信安全 2025-01-15 10:07 近日,亚信安全CERT监测 到微软2025年1月补丁日发布了针对161个漏洞的修复补丁。其中,11个漏洞被评为紧急,150个漏洞被评为重要,其中共包括38个特权提升漏洞,58个远程代码执行漏洞,19个拒绝服务漏洞,25个信息泄漏漏洞,5个欺骗漏洞,16个安全功能绕过漏洞。本月11个漏
继续阅读Fortinet:注意这个认证绕过0day漏洞可用于劫持防火墙
Fortinet:注意这个认证绕过0day漏洞可用于劫持防火墙 Sergiu Gatlan 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者正在利用位于 FortiOS和FortiProxy 中的一个认证绕过0day漏洞,劫持Fortinet 防火墙并攻陷企业网络。 该漏洞的编号是CVE-2024-55591,影响 FortiOS 7.0.0
继续阅读微软2025年1月补丁星期二值得关注的漏洞
微软2025年1月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在2025年1月补丁星期二中共修复了159个漏洞,其中8个是0day漏洞。 这些漏洞的分类如下: 40个提权漏洞 14个安全特性绕过漏洞 58个远程代码执行漏洞 24个信息泄露漏洞 20个拒绝服务漏洞 5个欺骗漏洞 已遭利用的0day 本次微软
继续阅读2025-01微软漏洞通告
2025-01微软漏洞通告 火绒安全 火绒安全 2025-01-15 10:00 微软官方发布了 2025年01月的安全更新。本月更新公布了210个漏洞,包含 58个远程执行代码漏洞、40个特权提升漏洞、24个信息泄露漏洞、20个拒绝服务漏洞、14个安全功能绕过漏洞、5个身份假冒漏洞,其中12个漏洞级别为“Critical”(高危),149个为“Important”(严重)。建议用户及时使用火绒安
继续阅读更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-15 09:59 本周更新: 2.1 固件/镜像环境获取方法(1)https://www.kanxue.com/book-140-4936.htm 2.2 固件/镜像环境获取方法(2)https://www.kanxue.com/book-140-4947.htm 2.3 固件/镜像环境处理(1
继续阅读又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览
又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览 安全牛 2025-01-15 09:28 点击蓝字·关注我们 / aqniu 新闻速览 •英国拟禁止赎金支付,剑指勒索软件攻击 •又一BeyondTrust漏洞遭黑客利用 •OWASP发布十大”非人类身份安全风险”清单 •警惕网络犯罪新手法:伪造
继续阅读强制报告与禁止支付,英国拟立法打击勒索软件
强制报告与禁止支付,英国拟立法打击勒索软件 安全客 2025-01-15 09:21 英国政府正在考虑立法,要求所有组织强制报告向勒索软件团伙支付的赎金,并且完全禁止公共部门实体支付勒索要求,尤其是关键基础设施领域的支付。 内政部咨询与提案 勒索软件攻击持续给私人企业和公共部门带来严重干扰,这些攻击通常通过加密锁定恶意软件导致系统瘫痪、数据被盗,并附带勒索要求,犯罪分子承诺提供解密工具或删除被盗数
继续阅读【漏洞通告】FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591)
【漏洞通告】FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-01-15 09:15 漏洞名称: FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591) 组件名称: Fortinet-Fortios 影响范围: 7.0.0 ≤ FortiOS < 7.0.17 7.2.0 ≤
继续阅读2025年1月微软补丁日多个高危漏洞安全风险通告
2025年1月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-01-15 08:58 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了1月份的安全更新公告,共修复了159个漏洞,修复了Windows远程桌面服务、Windows Hyper-V、Windows OLE等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安
继续阅读Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险!
Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险! Hankzheng 技术修道场 2025-01-15 08:14 各位朋友们,速速关注!Ivanti Connect Secure VPN 设备爆出严重零日漏洞 (CVE-2025-0282),黑客已开始利用该漏洞进行攻击,并部署名为 “Dryhook” 和 “Phasejam” 的新型恶意软
继续阅读微步情报局发现Apache Linkis漏洞,再获Apache官方致谢
微步情报局发现Apache Linkis漏洞,再获Apache官方致谢 原创 微步情报局 微步在线研究响应中心 2025-01-15 08:10 漏洞概况 Apache Linkis 是一个用于大数据平台的计算中间件,旨在简化大数据任务的管理和执行。它提供了一个统一的接口,支持多种计算引擎(如 Spark、Hive、Flink 等),并帮助用户更高效地管理和调度大数据任务。 近日,Apache 官
继续阅读工信部发布关于加强互联网数据中心客户数据安全保护的通知
工信部发布关于加强互联网数据中心客户数据安全保护的通知 魔都安全札记 2025-01-15 08:03 点击上方蓝字关注 「魔都安全札记」 工信部发布关于加强互联网数据中心客户数据安全保护的通知全文如下: 各省、自治区、直辖市通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关互联网数据中心企业: 互联网数据中心(以下简称IDC)作为新一代信息基础
继续阅读Ivanti Endpoint Manager 多个信息泄露漏洞安全风险通告
Ivanti Endpoint Manager 多个信息泄露漏洞安全风险通告 奇安信 CERT 2025-01-15 08:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager 信息泄露漏洞 漏洞编号 CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159 公开时间
继续阅读【漏洞通告】微软1月多个安全漏洞
【漏洞通告】微软1月多个安全漏洞 启明星辰安全简讯 2025-01-15 07:48 一、漏洞概述 202 5 年 1 月 1 5 日,启明星辰集团 VSRC监测到微软发布了 1 月安全更新,本次更新共修复了 159 个漏洞, 漏洞类型包括 权限 提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等 , 漏洞级别包括 3个严重级别漏洞,97个高危级别漏洞,58个中危级别漏洞,1个低危
继续阅读【漏洞预警】用友nc 任意文件上传漏洞
【漏洞预警】用友nc 任意文件上传漏洞 原创 MasterC 企业安全实践 2025-01-15 06:44 一、漏洞描述 用友NC是用友软件公司主打互联网平台型的ERP系统。 用友NC系统存在任意文件上传漏洞。攻击者无需账号密码,可利用该漏洞上传恶意文件,进而完全控制主机。 NC及NC CLOUD系统可利用/lfw/core/rpc 接口访问到 PortalSpecServiceImpl 中cr
继续阅读微软2025年1月份于周二补丁日针对161漏洞发布安全补丁
微软2025年1月份于周二补丁日针对161漏洞发布安全补丁 何威风 祺印说信安 2025-01-15 06:36 微软在 2025 年初发布了一系列新补丁,修复了其软件产品组合中的 161 个安全漏洞 ,其中包括三个在攻击中被积极利用的零日漏洞。 在 161 个漏洞中,11 个被评为严重,149 个被评为重要。另一个漏洞是与 Windows 安全启动绕过 (CVE-2024-7344) 相关的非
继续阅读Jeecg存在JNDI代码执行漏洞
Jeecg存在JNDI代码执行漏洞 原创 Hacker 0xh4ck3r 2025-01-15 06:15 Jeecg存在JNDI代码执行漏洞 Jeecg (J2EE C ode G eneration)是一款基于代码生成器的低代码开发平台, 使用 JEECG 可以简单快速地开发出企业级的 Web 应用系统。目前官方已停 止维护。 JEECG 4.0 及之前版本中,由于 /api 接口鉴权时未过滤
继续阅读Adobe 发布带有 PoC 漏洞代码的严重 ColdFusion 错误提醒
Adobe 发布带有 PoC 漏洞代码的严重 ColdFusion 错误提醒 胡金鱼 嘶吼专业版 2025-01-15 06:01 Adobe 发布了安全更新,以利用概念验证 (PoC) 漏洞利用代码来解决关键的 ColdFusion 漏洞。该漏洞(编号为 CVE-2024-53961)是由影响 Adobe ColdFusion 2023 和 2021 版本的路径遍历漏洞引起的,攻击者可以读取易受
继续阅读某公交管理系统简易逻辑漏洞+SQL注入挖掘
某公交管理系统简易逻辑漏洞+SQL注入挖掘 原创 zkaq-xhys 掌控安全EDU 2025-01-15 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – xhys 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 某公交管理系统挖掘 SQL注入漏洞 前台通过给的账号密码,进去 按顺序依次点击1、2、3走一遍功能点,然后开
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第十八期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第十八期 原创 安钥 方桥安全漏洞防治中心 2025-01-15 04:00 2024年12月25日发布的 第十八期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 活动现已结束。经过初评和复审,本次共有 1 篇 SOP 入选。 入选SOP作品 结构清晰、内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏洞处置实践工作中的专业积累。
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第3期,总第21期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第3期,总第21期] 原创 安钥 方桥安全漏洞防治中心 2025-01-15 04:00 2024年,我们成功举办了21期漏洞处置SOP征文活动,累计征集到44个优质漏洞处置SOP。2025年,我们将继续推进漏洞处置SOP征文活动。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都
继续阅读杜特网上订单管理系统 getUserImage.ashx SQL注入漏洞
杜特网上订单管理系统 getUserImage.ashx SQL注入漏洞 Superhero nday POC 2025-01-15 02:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读腾讯云安全中心推出2024年12月必修安全漏洞清单
腾讯云安全中心推出2024年12月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-01-15 02:02 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风
继续阅读GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装
GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装 中泊研团队 中泊研安全应急响应中心 2025-01-15 02:01 近日,在 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 使用最广泛的在线捐赠和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777,CVSS 评分为9.8的严重级别 ,可能被攻击者利用以远程控制目标网站。这一事件牵涉到超过 100
继续阅读微软1月补丁日多个产品安全漏洞风险通告:3个在野利用、12个紧急漏洞
微软1月补丁日多个产品安全漏洞风险通告:3个在野利用、12个紧急漏洞 奇安信 CERT 2025-01-15 01:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年1月补丁日多个产品安全漏洞 影响产品 Windows 远程桌面服务、Windows Hyper-V、Windows OLE等。 公开时间 2025-01-15 影响对象数量级 千万级 奇安信评级
继续阅读震惊!OA 系统漏洞竟让 1400 多名学生敏感信息“裸奔”
震惊!OA 系统漏洞竟让 1400 多名学生敏感信息“裸奔” 原创 繁星01 安全君呀 2025-01-15 01:06 点击上方蓝色文字关注↑↑↑↑↑ 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容
继续阅读Google OAuth 漏洞使攻击者可以访问废弃的帐户
Google OAuth 漏洞使攻击者可以访问废弃的帐户 会杀毒的单反狗 军哥网络安全读报 2025-01-15 01:01 导读 研究人员发现谷歌“Sign in with Google”身份验证流程中的“缺陷”,该缺陷利用域名所有权的怪癖来访问敏感数据。 Truffle Security 联合创始人兼首席执行官 Dylan Ayrey在周一的一份报告中表示: “谷歌的OAuth登录无法防止有人
继续阅读Java综合漏洞平台
Java综合漏洞平台 原创 白帽学子 白帽学子 2025-01-15 00:03 在我们平时的网络安全工作中,经常会面对各种各样的挑战。比如,进行定期的漏洞扫描、代码审计,甚至是参与红蓝对抗演练时,发现漏洞后往往需要及时将其修复。 最近,我接触到了一款开源的网络安全工具——JavaSecLab。在我了解它的功能后,觉得这不仅能满足我们的需求,还能让安全团队和研发团队更加紧密地合作。 JavaSec
继续阅读Tomcat 弱密码检测 与漏洞利用
Tomcat 弱密码检测 与漏洞利用 codervibe 夜组科技圈 2025-01-15 00:01 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 工具介绍 TomcatScan 是一个用于检测 Tomcat 服务器漏洞的工具,支持以下主要功能: – 检测 CVE-2017-12615 和 CNVD-2020-10487 漏洞。
继续阅读