漏洞预警 | go-git参数注入漏洞
漏洞预警 | go-git参数注入漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2025-21613 0x01 危险等级 – 高危 0x02 漏洞概述 go-git是一个用Go语言编写的高度可扩展的git实现库。 0x03 漏洞详情 CVE-2025-21613 漏洞类型: 参数注入 影响: 执行任意命令 简述: go-git中
继续阅读作者: cve-20
漏洞预警 | Aviatrix Controller命令注入漏洞
漏洞预警 | Aviatrix Controller命令注入漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2024-50603 0x01 危险等级 – 高危 0x02 漏洞概述 Aviatrix Controller是一款强大的云网络管理平台,提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能,帮助企业实现更加灵活、安
继续阅读漏洞预警 | WordPress Plugin Hurrakify SSRF漏洞
漏洞预警 | WordPress Plugin Hurrakify SSRF漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2024-54330 0x01 危险等级 – 高危 0x02 漏洞概述 Hurrakify是一个专为WordPress平台设计的插件,旨在增强网站的社交分享功能和用户交互体验。 0x03 漏洞详情 CVE-2
继续阅读网络渗透“大杀器”:Cobalt Strike实操全揭秘
网络渗透“大杀器”:Cobalt Strike实操全揭秘 原创 sky 泷羽Sec-sky 2025-01-14 16:32 免责声明: 该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用,使用时应当遵守国家法律,做一位合格的白帽专家。 使用本工具的用户需要自行承担任何风险和不确定因素,如有人利用工具做任何后果均由使用者承担,本人及文章作者还有泷羽sec团队不承担任何责任 如本文章侵权,请联
继续阅读攻防靶场(40):破壳漏洞利用 Sumo
攻防靶场(40):破壳漏洞利用 Sumo 原创 罗锦海 OneMoreThink 2025-01-14 16:01 欢迎提出宝贵建议 、欢迎分享 文章、欢迎关注 公众号 OneMoreThink 。 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 1.3 主动扫描:字典扫描 1.4 主动扫描:漏洞扫描 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏
继续阅读【漏洞预警】科拓全智能停车收费系统Webservice.asmx存在任意文件上传漏洞
【漏洞预警】科拓全智能停车收费系统Webservice.asmx存在任意文件上传漏洞 cexlife 飓风网络安全 2025-01-14 14:17 简介:科拓-全智能停车视频收费系统是一种利用智能技术和视频监控技术实现停车场收费管理的系统,该系统通过安装摄像头和相关设备,能够实时监控停车场的车辆进出情况,并自动识别车牌号码。漏洞描述:科拓全智能停车收费系统接口处存在任意文件上传漏洞,未经身份攻击
继续阅读网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的
网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的 原创 VlangCN HW安全之路 2025-01-14 12:54 篡改网站(Deface Website)是渗透测试中常见的攻击手段之一,通过篡改目标网站的首页内容,可以起到警示、测试甚至恶意宣传的作用。本期文章,我将带大家从基础知识入手,深入解析如何实现网站篡改和利用X
继续阅读议题征集 | 关于征集第六期移动互联网APP产品安全漏洞技术沙龙议题的通知
议题征集 | 关于征集第六期移动互联网APP产品安全漏洞技术沙龙议题的通知 CAPPVD漏洞库 FreeBuf 2025-01-14 12:03 为深入贯彻落实《网络产品安全漏洞管理规定》,支撑国家移动互联网App产品安全漏洞管理工作,深入剖析网络产品安全漏洞管理重难点问题,引导各单位建设规范有序的漏洞发现、收集、验证、修补等漏洞管理机制,切实提高各单位完善和优化漏洞管理工作,防范网络产品安全风险
继续阅读信息安全漏洞周报(2025年第2期)
信息安全漏洞周报(2025年第2期) 原创 CNNVD CNNVD安全动态 2025-01-14 11:28 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月6日至2025年1月12日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1045个。 接报漏洞情况 本周CNNVD接报漏洞10936个,其中信息技术产品漏洞(通用型漏洞)28
继续阅读【安全圈】2025年首个满分漏洞,PoC已公布,可部署后门
【安全圈】2025年首个满分漏洞,PoC已公布,可部署后门 安全圈 2025-01-14 11:00 关键词 安全漏洞 云攻击者正在大肆利用名为Max – Critical Aviatrix RCE漏洞(编号CVE – 2024 – 50603),此漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码,网络犯罪分子借此漏洞植
继续阅读【安全圈】为网络安全研究人员定制的虚假漏洞利用攻击利用恶意软件
【安全圈】为网络安全研究人员定制的虚假漏洞利用攻击利用恶意软件 安全圈 2025-01-14 11:00 关键词 恶意软件 根据Trend Micro的最新研究,针对CVE-2024-49113这个曾经存在于Microsoft的Windows轻量级目录访问协议(LDAP)中的拒绝服务(DoS)漏洞,识别出了一种名为“LDAPNightmare”的虚假漏洞利用方式。这两个漏洞最初由Safebreac
继续阅读苹果修复 macOS 高危漏洞,被黑客利用可安装恶意内核驱动
苹果修复 macOS 高危漏洞,被黑客利用可安装恶意内核驱动 安世加 安世加 2025-01-14 11:00 1 月 14 日消息,苹果公司在 2024 年 12 月 11 日发布的 macOS Sequoia 15.2 安全更新中,修复了存在于 System Integrity Protection(SIP)功能的漏洞, 微软时隔 1 个月披露了该漏洞相关细节。 该漏洞追踪编号为 CVE-20
继续阅读工信部认可!360荣获车联网产品安全漏洞专业库“优秀技术支撑单位”
工信部认可!360荣获车联网产品安全漏洞专业库“优秀技术支撑单位” 360数字安全 2025-01-14 10:49 近日,由中汽数据有限公司主办的车联网产品安全漏洞专业库(NVDB-CAVD)2024年终总结会在北京圆满落幕。360数字安全集团受邀出席,荣获工业和信息化网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库的“优秀技术支撑单位”、“技术支撑单位”称号,并获得“原创漏洞证书”。 本
继续阅读严重的 Aviatrix Controller RCE 漏洞已遭利用
严重的 Aviatrix Controller RCE 漏洞已遭利用 Bill Toulas 代码卫士 2025-01-14 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用Aviatrix Controller 实例中的一个严重的远程命令执行漏洞 (CVE-2024-50603),安装后门和密币挖矿机。 Aviatrix Controller 是 Aviat
继续阅读微软:macOS 漏洞可导致黑客安装恶意内核驱动
微软:macOS 漏洞可导致黑客安装恶意内核驱动 Sergiu Gatlan 代码卫士 2025-01-14 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司最近修复了一个macOS 漏洞,可导致攻击者绕过系统完整性保护 (SIP) 措施并通过加载第三方内核扩展的方式安装恶意内核驱动。 SIP 或 “rootless” 是macOS 的一个安全特性,可通过限制根用户账户在
继续阅读2025年首个满分漏洞:云攻击者利用Aviatrix Controller漏洞植入恶意软件
2025年首个满分漏洞:云攻击者利用Aviatrix Controller漏洞植入恶意软件 看雪学苑 看雪学苑 2025-01-14 10:00 2025年1月14日,网络安全研究人员发现,云攻击者正在利用一个名为Max-Critical Aviatrix RCE的漏洞(编号CVE-2024-50603),该漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码
继续阅读VulScanner:一款专业的红队漏洞检测工具
VulScanner:一款专业的红队漏洞检测工具 泷羽Sec-醉陌离 2025-01-14 10:00 VulScanner 一款适合在渗透测试中随时记录和保存的漏洞检测工具 项目地址:https://github.com/cn-xwhat/VulScanner 文末有详细配置教程 一、 主要模块 主要功能模块 任务管理 : 支持扫描任务、FOFA 采集、IP 段采集。 任务进度实时可视化,便于跟
继续阅读PWN入门之格式化字符串漏洞
PWN入门之格式化字符串漏洞 蚁景网络安全 2025-01-14 09:30 0x00 前言 一声晴空霹雳,鸽王再次更新(手动狗头保个命),Pwn入门系列终于迎来了他的第三次更新,好长时间没更新了,就不给大家说那些没用的了,直接上干货! 0x01 格式化字符串函数介绍 格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串。格
继续阅读使用自动化工具寻找sql注入漏洞
使用自动化工具寻找sql注入漏洞 马哥网络安全 2025-01-14 09:00 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法
继续阅读【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)
【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282) 启明星辰安全简讯 2025-01-14 08:17 一、漏洞概述 漏洞名称 Ivanti多款产品缓冲区溢出漏洞 CVE ID CVE-2025-0282 漏洞类型 缓冲区溢出 发现时间 2025-01-14 漏洞评分 9.0 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读云连POS-ERP管理系统 download.action 任意文件读取漏洞
云连POS-ERP管理系统 download.action 任意文件读取漏洞 Superhero nday POC 2025-01-14 08:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读泛洪攻击模拟复现详解
泛洪攻击模拟复现详解 原创 OlIyDg 泷羽Sec-shinyer安全 2025-01-14 00:55 文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负 我这篇文章讲的是现在比较常见的攻击方式SYN FLOOD泛洪放大攻击 SYN 洪水(半开连接攻击)是一种拒绝服务 (D
继续阅读无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击
无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-14 00:39 近期,网络安全从业人员间流传着一个引起广泛关注的事件:某提权工具被植入后门,导致工具使用者的身份信息和敏感数据遭到泄露。根据现有的信息,初步判断此次攻击背后可能是东南亚某APT组织——海莲花(Lotus Blossom)所为。 Visual
继续阅读macos高危漏洞CVE-2024-54498 解析+复现
macos高危漏洞CVE-2024-54498 解析+复现 原创 棉花糖糖糖 棉花糖fans 2025-01-13 19:23 前言: 前两天看到github有公开一个mac的cve,影响了15.2以下的版本,刚好我也用的mac,看看会不会影响到我,特抽时间看了一下,有搞错的地方麻烦大佬补充修改。 原理: 先说下前情提要,苹果的macos有个沙箱机制,每个应用都只能访问自己独立的沙箱数据,如果需要
继续阅读【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务
【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务 cexlife 飓风网络安全 2025-01-13 14:11 漏洞描述: Vim官方修复了Vim中的一处缓冲区溢出漏洞,该漏洞是由于Vim没有正确结束视觉模式,可能会尝试访问超出缓冲区行尾的位置,用户必须在执行 “:all” 命令时开启了视觉模式时才会触发此漏洞。针对此漏洞,官方已经发布9.1.1003版本,建议受影响用户及时升级到漏洞修复版本。
继续阅读Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍
Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍 原创 VlangCN HW安全之路 2025-01-13 13:50 Nuclei 是一款高效的漏洞扫描工具,用于检查现代应用程序、基础设施、云平台和网络,以帮助识别和修复可被利用的漏洞。 Nuclei 的核心是基于 YAML 模板 的设计。这些模板以简单明了的 YA
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具
【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具 原创 儒道易行 儒道易行 2025-01-13 12:00 人生其实就是一场必然的死亡练习,但是人类何尝因为注定要死亡而放弃奋斗呢 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与
继续阅读识别漏洞成了大海捞针?
识别漏洞成了大海捞针? 原创 做安全的小明同学 大山子雪人 2025-01-13 11:04 2025.1月份的android公告,最大的变化就是少了漏洞对应patch的链接 没有了patch,就没法分析漏洞的成因,也就无从学起。也不知道漏洞什么时候修复的,什么时候commit到aosp的。头大,简直大海捞针。 由于不知道时间范围,只能挨个commit爬了 commit收集入口: https://
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞
GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读