【漏洞复现】方正畅享全媒体新闻采编系统imageProxy存在任意文件读取漏洞
【漏洞复现】方正畅享全媒体新闻采编系统imageProxy存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2025-01-03 16:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 方正全媒体新闻采编系统是面向媒体深度融合的技术平台,以大数据和AI技术为支撑,集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心
继续阅读作者: cve-20
当黑客那些年之帐户接管系列漏洞-案例一斩获1000$
当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 迪哥讲事 2025-01-03 15:27 当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞,该漏洞允许我接管任何用户的账户。 在开始之前,我想先提供一些关于 Host 头的小基础知识。 什么是 HTTP Host 头? HTTP Host 头是 HTTP/1.1 中的必
继续阅读【高危漏洞预警】Windows LDAP远程代码执行漏洞(CVE-2024-49112)
【高危漏洞预警】Windows LDAP远程代码执行漏洞(CVE-2024-49112) cexlife 飓风网络安全 2025-01-03 14:37 漏洞描述: Windows Lightweight Directory Access Protocol (LDAP) 是一种基于 LDAP协议的轻量级目录访问协议,广泛用于WindowsActive Directory(AD)环境中,用来访问和管
继续阅读【已复现】Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)安全风险通告
【已复现】Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)安全风险通告 奇安信 CERT 2025-01-03 14:18 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 漏洞编号 QVD-2024-50137,CVE-2024-49113 公开时间 2024-12-1
继续阅读【漏洞工具】小米路由器任意文件读取漏洞python命令行利用工具
【漏洞工具】小米路由器任意文件读取漏洞python命令行利用工具 原创 儒道易行 儒道易行 2025-01-03 12:00 六朝何事,只成门户私计! 工具利用 本文poc、工具、源码加圈获取 知识星球 纷传 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
继续阅读【安全圈】伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解
【安全圈】伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解 安全圈 2025-01-03 11:00 关键词 安全漏洞 网络安全社区最近面临着一场轰动,起因是社交媒体平台 X(正式名称为 Twitter)的一名用户声称拥有流行文件归档程序 7-Zip 的零日漏洞。 该用户名为 @NSA_Employee39 的用户声称他们发现了一个严重漏洞,该漏洞可能允许攻击者通过利用7-Zip 软件中的缓
继续阅读【成功复现】大华智能物联综合管理平台远程代码执行漏洞
【成功复现】大华智能物联综合管理平台远程代码执行漏洞 奥村燐 弥天安全实验室 2025-01-03 10:50 网安引领时代,弥天点亮未来 **** 0x00漏洞描述 大华智能物联综合管理平台 GetClassValue.jsp 接口存在远程代码执行漏洞,未经身份验证的恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。 0x01影响范围 该漏洞影响所有未更新修复补丁的大华智能物联综合管理平台
继续阅读大量 Four-Faith 路由器因严重漏洞面临远程攻击风险
大量 Four-Faith 路由器因严重漏洞面临远程攻击风险 河北镌远 河北镌远网络科技有限公司 2025-01-03 10:29 点击“蓝字” 一起来关注我们吧 近日,网络安全公司VulnCheck揭露了一项针对四信(Four-Faith)工业路由器的高风险漏洞,该漏洞被标识为CVE-2024-12856。这一操作系统命令注入错误允许远程攻击者在特定条件下执行任意命令,具体来说,只有当攻击者能够
继续阅读第一章课时12已更新!系统0day安全-IOT设备漏洞挖掘(第6期)
第一章课时12已更新!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-01-03 09:58 第一章已更新完成 后续章节陆续更新中 想报名的学员抓紧时间啦~ 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入
继续阅读2024年度网络安全热点事件盘点
2024年度网络安全热点事件盘点 原创 Hackernews 安全威胁纵横 2025-01-03 09:06 随着2024年的落幕,全球网络安全领域经历了一系列深刻变化和挑战。这一年,我们见证了网络攻击的规模和复杂性达到了前所未有的水平,从勒索软件的全球肆虐到数据泄露事件的惊人规模,网络安全事件的频发不仅考验了各国的安全防御能力,也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显,一方面,
继续阅读关于防范Apache Struts2任意文件上传超危漏洞的风险提示
关于防范Apache Struts2任意文件上传超危漏洞的风险提示 CSTIS 网络安全威胁和漏洞信息共享平台 2025-01-03 09:04 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2 是一款开源 Jav
继续阅读Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步
Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等
继续阅读[漏洞复现]大*智能物联平台GetClassValue命令执行漏洞
[漏洞复现]大*智能物联平台GetClassValue命令执行漏洞 原创 zzz 良月安全 2025-01-03 08:32 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 漏洞分析 漏洞挺简单的,直接用 Cla
继续阅读Web安全进阶:漏洞分析与防范实战技巧
Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景
继续阅读【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大
继续阅读圣乔ERP系统 DwrUtil SQL注入漏洞
圣乔ERP系统 DwrUtil SQL注入漏洞 Superhero nday POC 2025-01-03 07:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢!
继续阅读圣乔ERP系统 ResultSetConvertor SQL注入漏洞
圣乔ERP系统 ResultSetConvertor SQL注入漏洞 Superhero nday POC 2025-01-03 07:39 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读文件读取漏洞实战利用
文件读取漏洞实战利用 WIN哥学安全 2025-01-03 06:50 点击上方蓝字关注我们 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由subjcw师傅发表在奇安信攻防社区 文章地址:https://forum.butian.net/share/4017 Nginx配置文件利用 第一处文件读取,严
继续阅读LDAPNightmare:SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞
LDAPNightmare:SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞 Ots安全 2025-01-03 06:49 作者:Or Yair,安全研究团队负责人 | Shahak Morag,研究负责人 Active Directory 域控制器 (DC) 被视为组织计算机网络中的珍宝之一。在 DC 中发现的漏洞通常比在普通工作站中发现的漏洞更为严重。
继续阅读已修补但仍然存在漏洞:Windows BitLocker 加密再次被绕过
已修补但仍然存在漏洞:Windows BitLocker 加密再次被绕过 Ots安全 2025-01-03 06:49 上周,混沌通信大会 (CCC) 披露了一项新发现,动摇了 Windows 受信任的 BitLocker 加密的基础。安全研究员 Thomas Lambertz 在他的演讲“Windows BitLocker:不用螺丝刀就能搞定”中揭露了一个明显的漏洞,该漏洞允许攻击者绕过 Bit
继续阅读伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解
伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解 Ots安全 2025-01-03 06:49 最近有消息称,流行的开源文件归档软件 7-Zip 存在一个严重的零日漏洞,这一说法遭到了该软件的创建者和其他安全研究人员的质疑。 – X 上的一名用户 (@NSA_Employee39) 声称发现 7-Zip 的零日漏洞,该漏洞存在严重的缓冲区溢出漏洞。 据称,该漏洞涉及一个精心设计
继续阅读圣乔ERP系统 SingleRowQueryConvertor SQL注入漏洞
圣乔ERP系统 SingleRowQueryConvertor SQL注入漏洞 Superhero nday POC 2025-01-03 06:47 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读信息安全漏洞周报【第004期】
信息安全漏洞周报【第004期】 零零捌信安观察 银天信息 2025-01-03 05:59 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读Cyber Apocalypse 2023 硬件 CTF 题解
Cyber Apocalypse 2023 硬件 CTF 题解 原创 yichen 陈冠男的游戏人生 2025-01-03 04:17 AI 速读 1、Timed Transmission 通过分析逻辑分析仪的波形图,识别出波形组成的文字,得到 flag 2、Critical Flight 解析 Gerber 文件,找到隐藏的字符串,拼接成 flag 3、Debug 通过分析 UART 通信的波特
继续阅读工具集:NacosExploit【Nacos漏洞综合利用工具2.0】
工具集:NacosExploit【Nacos漏洞综合利用工具2.0】 wolven Chan 风铃Sec 2025-01-03 04:17 工具说明 本工具仅用于安全研究,请勿用于生产环境。 由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 支持的漏洞 PoC Exploit Vulnerability Name Vulnerabi
继续阅读【首发 1day】WordPress Crypto 插件存在前台任意用户登录漏洞(CVE-2024-9989)
【首发 1day】WordPress Crypto 插件存在前台任意用户登录漏洞(CVE-2024-9989) 原创 Mstir 星悦安全 2025-01-03 04:04 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 WordPress 的 Crypto 插件在 2.15 及以下版本(包括 2.15)中容易受到身份验证绕过攻击。这是由于对 ‘crypto_connect_a
继续阅读【漏洞复现】某平台-taillog-mediaserverlogs-readfile任意文件读取漏洞
【漏洞复现】某平台-taillog-mediaserverlogs-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2025-01-03 03:13 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读「漏洞复现」互慧-急诊综合管理平台 ServicePage.aspx 任意文件读取漏洞
「漏洞复现」互慧-急诊综合管理平台 ServicePage.aspx 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-03 03:08 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读WPA3协议存在安全漏洞,黑客可获取WiFi密码
WPA3协议存在安全漏洞,黑客可获取WiFi密码 老布 乌雲安全 2025-01-03 03:00 研究人员成功结合中间人攻击(MITM)和社会工程学技术,绕过了Wi – Fi保护协议——WPA3 ,进而获取网络密码。 此次研究由西印度大学的Kyle Chadee、Wayne Goodridge和Koffka Khan开展,这一研究揭示了最新无线安全标准存在的安全漏洞。 WPA3于20
继续阅读【漏洞复现】万能门店小程序系统存在任意文件读取
【漏洞复现】万能门店小程序系统存在任意文件读取 新势界NewFrontier 2025-01-03 02:00 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展示大图推送,建议把公众号设为
继续阅读