【漏洞通告】Apache Tomcat 远程代码执行漏洞
【漏洞通告】Apache Tomcat 远程代码执行漏洞 老鑫安全 2024-12-30 21:17
继续阅读作者: cve-20
CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析
CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析 船山信安 2024-12-30 18:00 漏洞简介 Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 影响版本 6.0.0 <= Zabbi
继续阅读Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856)
Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856) 锋刃科技 2024-12-30 16:15 Four-Faith 路由器是一款专为工业通信设计的 IoT 设备,广泛用于远程数据采集和工业控制网络中,提供高效的无线连接解决方案。 01 漏洞描述 漏洞类型: Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856) 简述:
继续阅读网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限
网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限 原创 扬名堂 东方隐侠安全团队 2024-12-30 15:50 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 HIPAA 规则:要求 72 小时数据恢复与年度合规审计 2024 年 12 月 30 日,拉维・拉克什马南报道了一则关乎
继续阅读【漏洞预警】Craft CMS register_argc_argv 致模板注入代码执行漏洞(CVE-2024-56145)
【漏洞预警】Craft CMS register_argc_argv 致模板注入代码执行漏洞(CVE-2024-56145) cexlife 飓风网络安全 2024-12-30 14:54 漏洞描述:Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字化网络体验等,CVE-2024-56145中,若开启了PHP配置中的 register_argc_argv,那么攻击者可构造恶
继续阅读【最新】推特蓝V公布 7zip 0day
【最新】推特蓝V公布 7zip 0day 原创 visionsec 安全视安 2024-12-30 12:38 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 地址:https://x.com/NSA_Employee39/status/1873644808998367272 1. // 此漏洞利
继续阅读Springboot未授权之httptrace和logfile的实战利用
Springboot未授权之httptrace和logfile的实战利用 迪哥讲事 2024-12-30 12:30 声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 0x00 前言 相信大家在很多项目中,不论是渗透测试还是攻防演练中都遇到过很多spring
继续阅读CVE-2024-21182 – Oracle Weblogic Server 漏洞利用 PoC 发布
CVE-2024-21182 – Oracle Weblogic Server 漏洞利用 PoC 发布 Ots安全 2024-12-30 12:19 安全研究人员警告称,针对影响 Oracle WebLogic Server 的严重漏洞的概念验证 (PoC) 漏洞已公开发布。 该漏洞被标记为 CVE-2024-21182,对使用该服务器的组织构成重大风险,因为它允许未经身份验证的攻击者
继续阅读Krueger 是一种概念验证 (PoC) .NET 后利用工具
Krueger 是一种概念验证 (PoC) .NET 后利用工具 Ots安全 2024-12-30 12:19 Krueger 是一种概念验证 (PoC) .NET 后利用工具,用于远程终止端点检测和响应 (EDR),这是横向移动程序的一部分。Krueger 通过利用 Windows Defender 应用程序控制 (WDAC) 来完成此任务,WDAC 是 Microsoft 创建的内置应用程序控
继续阅读浙江某软件科技公司被处罚,因数据库存在安全漏洞
浙江某软件科技公司被处罚,因数据库存在安全漏洞 点击关注-> 安知讯 2024-12-30 11:53 近日,浙江台州公安机关工作中发现,浙江某软件科技公司受托搭建的数据库存在安全漏洞,数据库中承载的大量电子政务数据存在泄露风险。 经查,该公司主要为政府部门提供软件开发、信息系统建设和运维等服务。在与台州当地部分政府部门合作期间,该公司未对受托维护、处理的电子政务数据履行应尽的数据安全保护义
继续阅读近期 Apache Struts 2 严重漏洞开始被利用
近期 Apache Struts 2 严重漏洞开始被利用 三沐 三沐数安 2024-12-30 11:53 研究人员警告称,恶意攻击利用 Apache Struts 2 中最近修补的严重漏洞,导致远程代码执行 (RCE)。 在 Apache Struts 2 中一个严重漏洞被公开披露后不到一个月,威胁行为者就开始利用该漏洞。 该问题被标记为 CVE-2024-53677(CVSS 评分为 9.5)
继续阅读Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器 Alpha_h4ck FreeBuf 2024-12-30 11:23 关于Brakeman Brakeman是一款功能强大的静态安全分析工具,该工具旨在针对Ruby on Rails应用程序执行静态分析与安全漏洞扫描任务。 工具要求 gem 工具安装 使用 RubyGems: gem install brakeman
继续阅读复测 Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)
复测 Apache Tomcat 远程代码执行漏洞(CVE-2024-50379) 原创 蚂蚁 网安守护 2024-12-30 11:05 环境搭建 struts2: 2.5.30 Idea : IntelliJ IDEA 2023.2.3 (Ultimate Edition) 注意事项 1、可以跨目录进行上传文件,除了../和./ ,必须知道目录,不然报错 2、功能点如果只是读取文件不落地,该漏
继续阅读【安全圈】WPA3协议存在安全漏洞,黑客可获取WiFi密码
【安全圈】WPA3协议存在安全漏洞,黑客可获取WiFi密码 安全圈 2024-12-30 11:00 关键词 安全漏洞 研究人员成功结合中间人攻击(MITM)和社会工程学技术,绕过了Wi – Fi保护协议——WPA3 ,进而获取网络密码。此次研究由西印度大学的Kyle Chadee、Wayne Goodridge和Koffka Khan开展,这一研究揭示了最新无线安全标准存在的安全漏洞
继续阅读ExpAttack:大语言模型越狱风险持续追踪框架
ExpAttack:大语言模型越狱风险持续追踪框架 knight 京东安全应急响应中心 2024-12-30 10:36 ExpAttack:大语言模型越狱风险持续追踪框架为京东安全蓝军的研究,总共分为四章。第一章将简要介绍大语言模型的风险,帮助大家全面了解大语言模型的风险概况,并详细阐述大语言模型的越狱风险。第二章将介绍当前大语言模型越狱风险管理的现状,分析现有风险管理中存在的问题,进而提出我们
继续阅读Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞
Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞 Ravie Lakshmanan 代码卫士 2024-12-30 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Palo Alto Networks 披露了一个影响 PAN-OS 软件的高危漏洞(CVE-2024-3393,CVSS 8.7),它可在易受攻击设备上引发拒绝服务 (DoS) 条件。 该漏洞影响 PA
继续阅读锐捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击
锐捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击 Rhinoer 犀牛安全 2024-12-30 10:09 网络安全研究人员发现锐捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示:“这些漏洞既影响 Reyee 平台,也影响 Reyee OS 网络设备。如果这些
继续阅读【免费领】智能设备安全技术干货:路由器0day漏洞挖掘指南
【免费领】智能设备安全技术干货:路由器0day漏洞挖掘指南 蚁景网络安全 2024-12-30 09:36 点击蓝字/关注我们 今日福利 全网稀缺的智能设备安全实战指南 案例解析路由器Web应用、栈溢出漏洞 “一站式”全面学习路由器漏洞挖掘技能 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “1230” , 免费领取~ (限7日内领
继续阅读安全热点周报:黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙
安全热点周报:黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙 奇安信 CERT 2024-12-30 09:05 安全资讯导视 • 国家金监总局发布《银行保险机构数据安全管理办法》 • 美国发布禁止敏感个人数据向中国跨境传输的最终规则 • 日本航空突遭网络攻击:航班延误 数小时后恢复 PART01 漏洞情报 1.Adobe ColdFusion路径遍历漏洞安全风险通告
继续阅读「漏洞复现」友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞
「漏洞复现」友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-30 08:52 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读全球云上数据泄露风险分析简报 (第四期):供应链攻击致39万账户凭证泄露,MFA漏洞致多个云服务被未授权访问
全球云上数据泄露风险分析简报 (第四期):供应链攻击致39万账户凭证泄露,MFA漏洞致多个云服务被未授权访问 原创 创新研究院 绿盟科技研究通讯 2024-12-30 08:45
继续阅读【漏洞通告】Apache Traffic Control SQL注入漏洞(CVE-2024-45387)
【漏洞通告】Apache Traffic Control SQL注入漏洞(CVE-2024-45387) 启明星辰安全简讯 2024-12-30 08:43 一、漏洞概述 漏洞名称 Apache Traffic Control SQL注入漏洞 CVE ID CVE-2024-45387 漏洞类型 SQL注入 发现时间 2024-12-24 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需
继续阅读某小型CMS漏洞复现审计
某小型CMS漏洞复现审计 蚁景网安 2024-12-30 08:30 SQL注入 漏洞复现: 登陆后台,点击页面删除按钮,抓包: rid参数存在sql注入,放入sqlmap检测成功: 代码分析: Ctrl+Shift+F检索路由: 定位具体代码,为删除功能: 发现deleteByIds调用了传参rid,跟进: 发现进入Dao层,此处依旧调用的deleteByIds,于是找ICommonDao接口实
继续阅读路由器运行一段时间变慢了,有定时重启路由吗?
路由器运行一段时间变慢了,有定时重启路由吗? 原创 圈圈 网络技术干货圈 2024-12-30 07:50 点击上方 网络技术干货圈 , 选择 设为星标 优质文章,及时送达 转载请注明以下内容: 来源:公众号【网络技术干货圈】 作者:圈圈 ID:wljsghq 很多用户可能都会遇到这样的问题:路由器运行一段时间后,网络变得卡顿,网页加载缓慢,甚至设备连接频繁掉线。这时,重启路由器往往能快速解决问题
继续阅读漏洞预警 福建科立讯通信有限公司指挥调度 命令执行 sendxxx.php
漏洞预警 福建科立讯通信有限公司指挥调度 命令执行 sendxxx.php by 融云安全-sm 融云攻防实验室 2024-12-30 07:49 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损
继续阅读工具集:Faraday【开源漏洞管理工具】
工具集:Faraday【开源漏洞管理工具】 wolven Chan 风铃Sec 2024-12-30 04:05 工具介绍 安全有两个艰巨的任务:设计智能的方式获取新信息,以及跟踪发现的内容以改善修复工作。有了 Faraday,您可以专注于发现漏洞,而我们将帮助您处理其余的工作。只需在终端中使用它,您就可以在操作的同时将工作组织起来。Faraday 旨在让您真正以多用户的方式利用社区中可用的工具,
继续阅读区块链安全 | 智能合约重入漏洞
区块链安全 | 智能合约重入漏洞 原创 zkaq-君叹 掌控安全EDU 2024-12-30 04:04 扫码领资料 获网安教程 本文由掌控安全学院 – 君叹 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 智能合约安全 在当今数字化浪潮汹涌澎湃的时代,区块链技术无疑是一颗耀眼的明星,正深刻地重塑着众多领域的运作模式。区块链,本
继续阅读【漏洞复现】某平台-Upload-login-bypass登录绕过漏洞
【漏洞复现】某平台-Upload-login-bypass登录绕过漏洞 原创 南极熊 SCA御盾 2024-12-30 03:46 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成
继续阅读漏洞分析 | Apache SkyWalking SQL注入漏洞分析
漏洞分析 | Apache SkyWalking SQL注入漏洞分析 原创 杂七 杂七杂八聊安全 2024-12-30 03:36 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 熟悉Graphql 0x01.1 Graphql环境搭建 通过springboot搭建graphql环境,pom .xml内容如下: 其中
继续阅读一款卓越防护Web漏洞的神器
一款卓越防护Web漏洞的神器 原创 长亭 菜鸟学信安 2024-12-30 03:30 前言 作为网络安全从业者,近期我注意到雷池社区版成为了热议的焦点,在众多技术社群中频频被提及。 经过深入探究,我发现雷池WAF凭借其自带的动态防护能力脱颖而出。与市面上其他类型的防火墙相比,雷池WAF独创性地引入了语义分析算法,这一创新之举打破了传统规则算法的局限,实现了精准检测、低误报率以及难以被绕过等优势。
继续阅读