漏洞预警 | 东胜物流软件SQL注入漏洞
漏洞预警 | 东胜物流软件SQL注入漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 东胜物流软件的/F
继续阅读作者: cve-20
漏洞预警 | 赛诸葛数字化智能中台系统SQL注入漏洞
漏洞预警 | 赛诸葛数字化智能中台系统SQL注入漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 赛诸葛数字化智能中台系统是一款由赛诸葛科技公司开发的数字化解决方案,旨在帮助企业实现业务流程的高效管理与创新,通过提供智能化的支持和服务来优化各类企业运营和决策的效率。 0x03 漏洞详情
继续阅读漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞
漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。 0x03 漏洞详情 漏洞类型: 敏感信息泄露 影响: 接管服务***
继续阅读戴尔、HPE、联发科修补其产品中的漏洞
戴尔、HPE、联发科修补其产品中的漏洞 铸盾安全 河南等级保护测评 2025-01-08 23:58 硬件制造商联发科、HPE 和戴尔周一发布公告,告知客户其产品中发现并修补的潜在严重漏洞。 台湾半导体公司联发科宣布修补十几个漏洞,其中包括数十个芯片组的调制解调器组件中一个严重漏洞,该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154,是一种越界写入漏洞,当设备连
继续阅读大多数 Bug Hunter 忽略的简单漏洞
大多数 Bug Hunter 忽略的简单漏洞 hai dragon 安全狗的自我修养 2025-01-08 23:14 图片由 StorySet Freepik 提供 Bug Hunter 是一个迷人且具有挑战性的领域,它结合了技术技能、创造力和毅力。虽然有些漏洞有据可查且经常被利用,但有一类错误经常被忽视:简单但罕见的错误。这些漏洞相对容易利用,但很少遇到,使其成为精明的漏洞赏金猎人的宝贵目标。
继续阅读蓝凌OA WebService loginWebserviceService 任意文件读取漏洞
蓝凌OA WebService loginWebserviceService 任意文件读取漏洞 Superhero nday POC 2025-01-08 13:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵
继续阅读蓝凌OA WebService kmImeetingResWebService 任意文件读取漏洞
蓝凌OA WebService kmImeetingResWebService 任意文件读取漏洞 Superhero nday POC 2025-01-08 13:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有
继续阅读蓝凌OA WebService kmImeetingBookWebService 任意文件读取漏洞
蓝凌OA WebService kmImeetingBookWebService 任意文件读取漏洞 Superhero nday POC 2025-01-08 12:53 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞预警】CyberPanel CyberPanel需授权命令注入漏洞 (CVE-2024-53376)
【漏洞预警】CyberPanel CyberPanel需授权命令注入漏洞 (CVE-2024-53376) cexlife 飓风网络安全 2025-01-08 12:15 漏洞详情:CyberPanel开源面板存在一个命令注入漏洞,该漏洞允许远程认证用户构造恶意请求执行任意命令,导致服务器失陷,攻击者可以使用一个HTTP选项请求指示网络服务器运行CyberPanel应用程序执行任何命令。 修复建议
继续阅读【漏洞预警】Aviatrix Aviatrix Controller 未授权命令注入漏洞 (CVE-2024-50603)
【漏洞预警】Aviatrix Aviatrix Controller 未授权命令注入漏洞 (CVE-2024-50603) cexlife 飓风网络安全 2025-01-08 12:15 漏洞描述: Aviatrix Controller是美国Aviatrix Systems公司用于其解决方案的业务流程和管理的一个集中控制面板,Aviatrix公司发布安全公告,其中公开了一个命令注入漏洞,由于对
继续阅读【漏洞预警】Gogit Go-Git 未授权表达式注入漏洞 (CVE-2025-21613)
【漏洞预警】Gogit Go-Git 未授权表达式注入漏洞 (CVE-2025-21613) cexlife 飓风网络安全 2025-01-08 12:15 漏洞详情:go-git发布v5.13版本,新版本中修复了一个参数注入漏洞,该漏洞源于go-git库在使用文件传输协议时,未能正确处理或验证通过URL字段传入的输入,导致攻击者可能注入恶意参数到本地调用的git二进制文件中,攻击者可利用该漏洞修
继续阅读Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击
Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击 信息安全大事件 2025-01-08 12:11 自 2024 年 11 月初以来,已发现一个 Mirai 僵尸网络变体利用新披露的安全漏洞影响四信工业路由器,目的是进行分布式拒绝服务 (DDoS) 攻击。 该僵尸网络每天维护大约 15,000 个活跃 IP 地址,感染主要分布在中国、伊朗、俄罗斯、土耳其和美国。 该恶意软件利用 20
继续阅读热血收官!2024漏洞马拉松冠军诞生!
热血收官!2024漏洞马拉松冠军诞生! 漏洞盒子 2025-01-08 11:03 2024年11月25日~2025年1月6日, 历经跨越2024与2025的激烈角逐, 从各自为王的 积分赛, 到随机组合,齐心协力的 团体赛…… 历经21天的小组晋级战, 21天的团体争夺战, 2024漏洞马拉松全部比赛已经圆满结束! 本次比赛分为两个战区,在第一阶段积分赛中,由各个半区挖洞积分 前12名晋级团体赛
继续阅读【安全圈】CISA 警告称,Oracle 和 Mitel 在攻击中被利用了关键漏洞
【安全圈】CISA 警告称,Oracle 和 Mitel 在攻击中被利用了关键漏洞 安全圈 2025-01-08 11:01 关键词 安全漏洞 CISA 警告美国联邦机构确保其系统安全,防止 Oracle WebLogic Server 和 Mitel MiCollab 系统中的关键漏洞被攻击利用。 该网络安全机构将在 Mitel 的 MiCollab 统一通信平台的 NuPoint Unifie
继续阅读Group3r:一款针对活动目录组策略安全的漏洞检测工具
Group3r:一款针对活动目录组策略安全的漏洞检测工具 Alpha_h4ck FreeBuf 2025-01-08 10:56 关于Group3r Group3r是一款针对活动目录组策略安全的漏洞检测工具,可以帮助广大安全研究人员迅速枚举目标AD组策略中的相关配置,并识别其中的潜在安全威胁。 Group3r专为红蓝队研究人员和渗透测试人员设计,该工具可以通过将 LDAP 与域控制器对话、解析域
继续阅读知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发
知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发 老布 FreeBuf 2025-01-08 10:56 美国生物技术公司Illumina的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞,这可能导致攻击者禁用用于检测疾病和开发疫苗的设备。Illumina iSeq 100被宣传为医疗和研究实验室可使用的、能提供“快速且具成本效益的遗传分析”的DNA测序系统。 固件安全公司Eclyp
继续阅读「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞
「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-08 10:55 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读无视加固,无视加解密,无视证书校验,不需要脱壳,半步无敌APP抓包通杀方案YYDS!
无视加固,无视加解密,无视证书校验,不需要脱壳,半步无敌APP抓包通杀方案YYDS! 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-01-08 10:03 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 经常跟APP打交
继续阅读【国际视野】卡巴斯基:EAGERBEE后门变种瞄准中东
【国际视野】卡巴斯基:EAGERBEE后门变种瞄准中东 原创 天极智库 天极智库 2025-01-08 10:00 “ 天极按 近日,卡巴斯基发布对EAGERBEE后门调查的相关分析,详细分析了EAGERBEE 后门的功能,重点关注服务注入器、插件编排器模块和相关插件。同时还探讨了EAGERBEE 后门与CoughingDown 威胁组织的潜在联系。 在最近对 EAGERBEE后门的调查中,发现中
继续阅读Apache Struts 2 再曝远程代码执行漏洞 CVE-2024-53677
Apache Struts 2 再曝远程代码执行漏洞 CVE-2024-53677 看雪学苑 看雪学苑 2025-01-08 09:59 近日,Apache Struts 2框架被曝出存在一项严重的远程代码执行漏洞,漏洞编号为CVE-2024-53677。 这一漏洞对使用该框架开发的Java Web应用程序构成了巨大威胁,攻击者可能通过精心构造的请求,在受影响的服务器上远程执行任意代码,进而导致敏
继续阅读更新第1章!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新第1章!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-08 09:59 本周更新:第一章 固件安全基础 1.1 固件/镜像定义 1.2 软件工具环境 1.3 交叉编译环境 1.4 硬件工具环境 限时优惠:¥21000 近些年来不论是HVV行动还是各种红蓝对抗中,边界设备或者企业级网络设备被当作是进入内网的最快目标,因此对于这些类型的设备安全问题开
继续阅读联发科芯片集存在严重的RCE漏洞,影响数百万台设备
联发科芯片集存在严重的RCE漏洞,影响数百万台设备 do son 代码卫士 2025-01-08 09:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2025年1月份,联发科发布产品安全公告,修复了影响多款芯片集的安全漏洞。该公告详细说明了从智能手机、平板、物联网设备和智能电视等产品中发现的漏洞。 其中最严重的漏洞是CVE-2024-20154,它是位于联发科现代固件中的一个栈溢出漏
继续阅读绕过加密防线!微软已修补的 BitLocker 漏洞仍存在被攻击风险
绕过加密防线!微软已修补的 BitLocker 漏洞仍存在被攻击风险 安全客 2025-01-08 08:57 近日,一项新的研究发现,Windows BitLocker 磁盘加密功能中一个先前已修补的漏洞仍然存在安全隐患,黑客可以利用该漏洞解密信息。BitLocker 是微软 Windows 操作系统中的一项磁盘加密功能,主要用于保护存储在硬盘上的数据不被未授权访问。 在德国最近举行的混沌通信大
继续阅读SonicOS SSLVPN 认证绕过漏洞(CVE-2024-53704)安全风险通告
SonicOS SSLVPN 认证绕过漏洞(CVE-2024-53704)安全风险通告 奇安信 CERT 2025-01-08 08:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 SonicOS SSLVPN 认证绕过漏洞 漏洞编号 QVD-2025-1811,CVE-2024-53704 公开时间 2025-01-08 影响量级 万级 奇安信评级 高危 CVSS 3.
继续阅读【漏洞预警】蓝凌EIS智慧协同平台SQL注入
【漏洞预警】蓝凌EIS智慧协同平台SQL注入 原创 1ang 小羊安全屋 2025-01-08 06:55 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏
继续阅读Moxa设备曝高危漏洞,工业网络安全面临严峻挑战
Moxa设备曝高危漏洞,工业网络安全面临严峻挑战 Hankzheng 技术修道场 2025-01-08 05:30 近日,工业网络与通信设备提供商Moxa发布紧急安全公告,披露其多款蜂窝路由器、安全路由器和网络安全设备中存在两个严重漏洞,分别为CVE-2024-9138(高危)和CVE-2024-9140(严重)。这些漏洞可能导致远程攻击者获取设备的root权限并执行任意命令,进而引发任意代码执行
继续阅读外网露出:新版 CobaltStrike 顶级免杀套件Arsenal kit
外网露出:新版 CobaltStrike 顶级免杀套件Arsenal kit 棉花糖fans 2025-01-08 04:49 上周日,某TG频道公开发布了CS4.10-Arsenal Kit工具包 image-20250108112122048 经查,hash与官方一致: image-20250108112509202 以下为相关描述 武器库套件是将各个独立套件组合成一个单一套件。构建此套件会生
继续阅读0023. 账户接管漏洞的有趣故事【转载】
0023. 账户接管漏洞的有趣故事【转载】 Deepanshu Rsec 2025-01-08 02:33 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自国外互联网,如你是原作者,请联系我们! 标签:账户接管 大家好,我是 Deepanshu,来自印度的安全研究院。 祝大家一切顺利!今天,我想分享一个有趣的账户接管漏洞。 我收到了 hackerone.com 上的
继续阅读0day漏洞无处遁形:大模型安全挖洞实践
0day漏洞无处遁形:大模型安全挖洞实践 腾讯技术工程 2025-01-08 01:15 作者:腾讯啄木鸟团队 1. 序章之《白帽寓言》 我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的? 我大声回答:我是挖洞的! 老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢? 我说
继续阅读新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器
新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器 会杀毒的单反狗 军哥网络安全读报 2025-01-08 01:00 导读 一个相对较新的基于 Mirai 的僵尸网络日益复杂,现在正在利用 0day 漏洞攻击工业路由器和智能家居设备的安全漏洞。 据监测僵尸网络发展和攻击情况的奇安信 X Lab 研究人员称,对以前未知的漏洞的利用始于 2024 年 11 月。 其中一个安全问题是 CVE-2
继续阅读