蛙!请查收你的2024漏洞盒子年度报告!
蛙!请查收你的2024漏洞盒子年度报告! 漏洞盒子 2024-12-31 10:01 对不起!这是今年最后一次发推文了! 因为2024年余额不足1天啦~ 亲爱的白帽们,今年有好好生活吗? 无所谓,元旦正是调整作息的好时机! 去年立的flag都实现了吗? 无所谓,蛙默默地把去年的目标改成明年的…… 去年陪你跨年的人还在吗? 没事,流水的对象,铁打的 盒子年度报告 蛙会一直陪你到地久~到天荒~(唱)
继续阅读作者: cve-20
银行数据安全管理新规发布:信息科技部是技术保护主责部门
银行数据安全管理新规发布:信息科技部是技术保护主责部门 点击关注-> 安知讯 2024-12-31 10:00 《银行科技研究社》消息 : 12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》(以下简称《办法》)。 《办法 》自公布之日起施行,《银行保险机构数据安全办法》(银保监办发〔2022〕118号)同时废止。 《办法》共9章81条。包括总则、数据安全治理、数据分类分级
继续阅读「漏洞复现」用友U8 Cloud ReleaseRepMngAction SQL注入漏洞复现(CNVD-2024-33023)
「漏洞复现」用友U8 Cloud ReleaseRepMngAction SQL注入漏洞复现(CNVD-2024-33023) 冷漠安全 冷漠安全 2024-12-31 09:53 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本
继续阅读OSRC 2024年度颁奖典礼在深圳完美落幕
OSRC 2024年度颁奖典礼在深圳完美落幕 OPPO安全中心 2024-12-31 09:01 2024年12月28日,OSRC在深圳隆重举办了2024年度颁奖典礼。此次盛会不仅是对过去一年优秀白帽子们成绩的肯定,更是对未来网络安全事业的展望与期待。 2024 OSRC年度颁奖典礼 参观OPPO大本营 典礼当天,上午我们带领白帽师傅们前往东莞,参观了OPPO的大本营——SMT产线。通过近距离观察
继续阅读SRC挖掘之Access验证校验的漏洞挖掘
SRC挖掘之Access验证校验的漏洞挖掘 蚁景网安 2024-12-31 08:30 漏洞已修复,感觉某大佬的知识分享 任意用户密码重置->可获取全校师生个人min感信息 开局就是信息收集 对于挖掘edu的信息收集 1.可尝试谷歌搜索语法,获取学号信息 1. 1. 旁站的渗透获取 2. 学校的贴吧获取(大部分都是本校学生) 当然我就是闲着蛋疼,进了目标学校的贴吧,跟他们聊天,然后你懂的(不
继续阅读FICORA、CAPSAICIN 僵尸网络利用旧 D-Link 路由器漏洞发起 DDoS 攻击
FICORA、CAPSAICIN 僵尸网络利用旧 D-Link 路由器漏洞发起 DDoS 攻击 三沐 三沐数安 2024-12-31 08:25 Mirai 和 Keksec 僵尸网络变体正在利用 D-Link 路由器中的关键漏洞。了解影响、受影响的设备以及如何保护自己免受这些攻击。 – 僵尸网络活动增加:新的“FICORA”和“CAPSAICIN”僵尸网络、Mirai 和 Kaite
继续阅读2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区
2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区 360数字安全 2024-12-31 08:10 数字时代,一切都架构在软件、网络、大数据之上。由于硬件、软件、协议在具体实现或操作系统安全策略上总会存在缺陷,所以漏洞无法避免。在即将过去的2024年中,安全漏洞数量持续增长,类型日趋多样化。 据360漏洞情报平台全网漏洞监测显示,2024年全球范围内共计披露出44622个
继续阅读【漏洞通告】Palo Alto Networks PAN-OS拒绝服务漏洞(CVE-2024-3393)
【漏洞通告】Palo Alto Networks PAN-OS拒绝服务漏洞(CVE-2024-3393) 启明星辰安全简讯 2024-12-31 07:14 一、漏洞概述 漏洞名称 Palo Alto Networks PAN-OS拒绝服务漏洞 CVE ID CVE-2024-3393 漏洞类型 DoS 发现时间 2024-12-27 漏洞评分 8.7 漏洞等级 高危 攻击向量 网络 所需权限
继续阅读雷神众测漏洞周报2024.12.23-2024.12.29
雷神众测漏洞周报2024.12.23-2024.12.29 原创 雷神众测 雷神众测 2024-12-31 05:57 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读CVE-2024-54819 – I Librarian 服务器端请求伪造
CVE-2024-54819 – I Librarian 服务器端请求伪造 Ots安全 2024-12-31 05:48 CVE-2024-54819 阅读更多详细信息:https: //www.partywave.site 关于 CVE-2024-54819 POST 请求登录 攻击者必须被记录 POST /librarian/index.php/authentication HTT
继续阅读Linux 内核漏洞 CVE-2023-4147:针对权限提升缺陷的 PoC 漏洞已发布
Linux 内核漏洞 CVE-2023-4147:针对权限提升缺陷的 PoC 漏洞已发布 Ots安全 2024-12-31 05:48 安全研究人员公布了 Linux 内核中 CVE-2023-4147 漏洞的技术细节和概念验证 (PoC) 漏洞利用,该漏洞可能允许攻击者提升权限并破坏系统安全。此漏洞的 CVSS 评分为 7.8,凸显了 Netfilter 功能中的释放后使用漏洞,而 Netfil
继续阅读x网友使用大模型生成 7-zip的0day漏洞,7-zip 原作者辟谣0day是假的
x网友使用大模型生成 7-zip的0day漏洞,7-zip 原作者辟谣0day是假的 独眼情报 2024-12-31 04:40 一名名为@NSA_Employee39 的 X 用户披露了开源文件存档软件 7-Zip 中的一个零日漏洞。 经过验证的 X 账户@NSA_Employee39 声称披露了开源文件存档软件 7-Zip 中的零日漏洞。 X 用户宣布它将“在本周内发布 0day 漏洞”,首先
继续阅读【吃瓜】价值 3000 元的 telegram 手机号查询’0day’
【吃瓜】价值 3000 元的 telegram 手机号查询’0day’ 独眼情报 2024-12-31 04:40 有网友发布了一个 telegram的 0day漏洞。根据手机号查询 telegream 账号。 原作者给出的方法是在任何一个群里发送带区号+86 的手机号,手机号会被系统拓展成链接,然后右键点击链接里面的个人属性,就可以看到别人 telegram 账号了。 所
继续阅读WordPress Wux-Blog-Editor 插件存在前台越权漏洞(直接成为管理员) CVE-2024-9932
WordPress Wux-Blog-Editor 插件存在前台越权漏洞(直接成为管理员) CVE-2024-9932 原创 Mstir 星悦安全 2024-12-31 04:25 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Wux-Blog-Editor 是在一个地方编辑来自所有不同WordPress网站的帖子和页面的插件 0x01 漏洞分析&复现 位于 /wp-conten
继续阅读价值1.8k人民币漏洞:Telegram小小0day-查询任意手机号码
价值1.8k人民币漏洞:Telegram小小0day-查询任意手机号码 棉花糖糖糖 Khan安全攻防实验室 2024-12-31 03:58 今早,有人出售Telegram0day-查询任意手机号码,截止本文发出,已售卖1800元人民币。 经群友确认,为2024年6月公开披露方法,即: https://t.me/+区号手机号 举例:https://t.me/+8618677662233 githu
继续阅读CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞
CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞 云梦DC 云梦安全 2024-12-31 03:52 CVE-2024-12856漏洞描述 Four-Faith 路由器型号 F3x24 和 F3x36 受到操作系统 (OS) 命令注入漏洞的影响。至少固件版本 2.0 允许经过身份验证的远程攻击者在通过 apply.cgi 修改系统时间时通过 HTTP 执行任意 OS
继续阅读CVE-2024-52046 Apache MINA反序列化漏洞
CVE-2024-52046 Apache MINA反序列化漏洞 云梦安全 2024-12-31 03:52 漏洞描述 Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御。 此漏洞允许攻击者通过发送特制的恶意序列化数据来利用反序列化过程,从而可能导致远程代码执行 (RCE) 攻击。
继续阅读【漏洞复现】某平台-Process-login-bypass登录绕过漏洞
【漏洞复现】某平台-Process-login-bypass登录绕过漏洞 原创 南极熊 SCA御盾 2024-12-31 03:09 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读Telegram小小0day-查询任意手机号码
Telegram小小0day-查询任意手机号码 原创 安全路人A 军机故阁 2024-12-31 03:02 年底了,更新一直不稳定,分享给大家一个情报角度下tg的小0day,其实主要原因是看到已经有很多国内外在用这个点了,所以这个点才能分享出来。效果是查询使用新版本tg的任意手机号对应的tg账号信息。有需要的可以看看。 今年4月因为tg rce 0day问题,tg更新了一个大版本,这版本有个不算
继续阅读【0Day漏洞预警】锐捷RG-EW1200G存在逻辑缺陷
【0Day漏洞预警】锐捷RG-EW1200G存在逻辑缺陷 什么安全 什么安全 2024-12-31 02:13 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 漏洞描述 该系统因设计鉴权缺失,未经身份校验的用户可远程关闭路由器
继续阅读美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞
美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞 原创 网空闲话 网空闲话plus 2024-12-31 01:34 前情回顾 号外号外!美国财政部工作站遭黑 美国财政部在致监管该机构的参议院委员会主席及资深成员的披露信中表示,由于此次黑客攻击事件背后怀疑是一个高级持续性威胁(APT)组织,因此将其视为“重大网络安全事件”。 祸起网络安全公司产品漏洞 据Bleepingcomputer早先的报道
继续阅读【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告
【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告 嘉诚安全 2024-12-31 01:31 漏洞背景 近日,嘉诚安全监测到Apache Traffic Control中存在一个SQL注入漏洞,漏洞编号为: CVE-2024-45387。 Apache Traffic Control(ATC)是一个开源的、基于Web的负载均衡和流量管理解决方案,主要用于管理和配
继续阅读攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell
攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell 会杀毒的单反狗 军哥网络安全读报 2024-12-31 01:00 导读 漏洞情报公司 VulnCheck 警告称,已观察到威胁组织利用 Four-Faith 工业路由器中的漏洞来部署反向 shell。 该漏洞编号为 CVE-2024-12856(CVSS 评分为 7.2),是一个操作系统命令注入问题,可以远程
继续阅读53套.NET系统漏洞威胁情报(12.31更新)
53套.NET系统漏洞威胁情报(12.31更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-31 00:28 53 某速ERP系统文件上传漏洞 53.1 漏洞概述 某 速ERP管理系统File.ashx存在任意文件上传漏洞 POST /Api/File**.ashx?method=**Upload HTTP/1.1Host: User-Agent: Mozilla/5.0 (Mac
继续阅读漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞
漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # CVE-2024-12727 CVE-2024-12728 CVE-2024-12729 0x01 危险等级 – 高危 0x02 漏洞概述 Sophos防火墙是由Sophos公司提供的一款功能强大、易于管理的网络安全产
继续阅读漏洞预警 | 方正全媒体采编系统SQL注入漏洞
漏洞预警 | 方正全媒体采编系统SQL注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 方正全媒体新闻采编系统是一个面向媒体深度融合的技术平台,它以大数据和AI技术为支撑,集成了指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心等多个功能,全面承载“策采编审发存传评”的
继续阅读漏洞预警 | GeoServer远程代码执行漏洞
漏洞预警 | GeoServer远程代码执行漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # CVE-2024-36404 0x01 危险等级 – 高危 0x02 漏洞概述 GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。 0x0
继续阅读警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制!
警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制! 原创 Hankzheng 技术修道场 2024-12-31 00:00 【利用弱密码恢复、SSRF、危险函数等漏洞,黑客可发动“Open Sesame”攻击,获取设备序列号,进而控制整个网络!】 近日,网络安全研究人员发现锐捷网络 开发的云管理平台存在多个安全漏洞,攻击者可以利用这些漏洞控制接入该平台的网络设备 。 Claroty
继续阅读【大量存在】成都和力九垠科技有限公司Common存在文件上传漏洞
【大量存在】成都和力九垠科技有限公司Common存在文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-30 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 成都和力九垠科技有限公司成立于1999年,是一家专业从事零售业全流程解决方案的高科技公司,总部位于四川成都。多年来,九垠软件不忘初衷,一直致力于中国零售企业
继续阅读