CVE-2024-56145|Craft CMS远程代码执行漏洞(POC)
CVE-2024-56145|Craft CMS远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所
继续阅读作者: cve-20
CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC)
CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 海洋CMS是一套专为不同需求的站长而设计的内容管理系统,灵活、方便、人性化设计、简单易用是最大的特色,可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发,完全开源免费 、无任何加密代码。 官网:www.seacms.
继续阅读Delinea 协议处理程序 – 通过更新进程执行远程代码(CVE-2024-12908)
Delinea 协议处理程序 – 通过更新进程执行远程代码(CVE-2024-12908) Ots安全 2024-12-28 06:29 概括 Secret Server 协议处理程序促进 Secret Server 与客户端计算机之间的通信。它还提供启动器运行所需的文件。当用户启动启动器时,协议处理程序: 1. 引导客户端应用程序。 通过 HTTP(S) 与 Secret Serve
继续阅读通过 X-Forwarded-Host 泄露密码重置令牌
通过 X-Forwarded-Host 泄露密码重置令牌 Ots安全 2024-12-28 06:29 这是我的第一篇博客,如果您发现任何拼写错误,请在接下来的几分钟内耐心等待。这篇博客是关于一个漏洞的,我在 Hackerone 的私人程序中发现了这个漏洞,它允许我接管任何用户的帐户。但在开始这篇博客之前,我想提供一些有关 Host 标头的基本信息。 HTTP 主机标头是什么?永久链接 HTTP
继续阅读2024年零日漏洞利用七大趋势
2024年零日漏洞利用七大趋势 黑白之道 2024-12-28 05:40 未修补的漏洞一直是攻击者入侵企业系统的重要手段,尤其是零日漏洞。由于这些漏洞没有修复方案,攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年,零日漏洞数量再次大幅增长,攻击者借此获得了先发优势,成为攻击企业网络和数据的关键武器。 虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复,但其中有些漏洞因其关键性
继续阅读FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限 Zicheng FreeBuf 2024-12-28 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 账号和密钥明文存储,AI平台1.29T数据库裸奔 近日,网络安全研
继续阅读Palo Alto防火墙存在高危漏洞,触发无需交互和权限
Palo Alto防火墙存在高危漏洞,触发无需交互和权限 老布 FreeBuf 2024-12-28 02:02 Palo Alto Networks近日披露,其下一代防火墙中的PAN-OS软件存在一个高危漏洞,编号为CVE-2024-3393。该漏洞允许未经身份验证的攻击者通过发送精心构造的DNS数据包,利用DNS安全特性触发拒绝服务(DoS)状态。若此漏洞被反复利用,可能导致受影响的防火墙重启
继续阅读自学漏洞技术90%的人都错了!
自学漏洞技术90%的人都错了! 原创 龙哥 龙哥网络安全 2024-12-28 02:00 自学黑客技术挖漏洞, 90% 的人都搞错了!这才是最系统的学习方法 ! 自学了大半年还挖不出一个漏洞,而我一个月就能搞个近万块钱的漏洞赏金,方法没掌握正确,你再练习 2 年半也没有用。 第一, 基础要打好,操作系统、计算机网络、 web 安全基础和数据库这 4 个东西是必学的,很多人都是跳过这一块 ,所以一
继续阅读分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集 原创 神农Sec 神农Sec 2024-12-28 01:05 扫码加圈子获内部资料网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽师傅们,这篇文章自己写之前先是看了十几篇的Fastjson反序列化漏洞相关的文章,自己也是先学习了
继续阅读Apache MINA CVE-2024-52046:满分漏洞可通过不安全的序列化实现 RCE
Apache MINA CVE-2024-52046:满分漏洞可通过不安全的序列化实现 RCE 会杀毒的单反狗 军哥网络安全读报 2024-12-28 01:00 导读 Apache 软件基金会 (ASF) 已发布补丁来修复MINA Java 网络应用程序框架中一个最高严重性漏洞,该漏洞可能在特定条件下导致远程代码执行。 该漏洞编号为CVE-2024-52046,CVSS 评分为 10.0。该漏洞
继续阅读漏洞预警 | SeaCMS海洋影视管理系统远程代码执行漏洞
漏洞预警 | SeaCMS海洋影视管理系统远程代码执行漏洞 浅安 浅安安全 2024-12-28 00:00 0x00 漏洞编号 – # CVE-2024-55461 0x01 危险等级 – 高危 0x02 漏洞概述 海洋CMS是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障,是您最佳的建站工具。 0x
继续阅读【漏洞复现】卓软计量业务管理平台image存在任意文件读取漏洞
【漏洞复现】卓软计量业务管理平台image存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-12-27 23:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 卓软计量业务管理平台是一款专为计量测试检定机构设计的信息化管理系统9。随着社会经济的不断发展,计量测试检定机构面临的管理规范化、技术水平、检测效率、服务能力以及行业
继续阅读Palo Alto Networks修复了一个高危PAN-OS漏洞
Palo Alto Networks修复了一个高危PAN-OS漏洞 鹏鹏同学 黑猫安全 2024-12-27 23:00 Palo Alto Networks修复了PAN-OS软件中的一个高危漏洞CVE-2024-3393(CVSS评分:8.7),该漏洞可能导致拒绝服务(DoS)攻击。未经身份验证的攻击者可以通过数据平面发送恶意数据包来利用此漏洞重启防火墙。反复利用此漏洞会导致防火墙进入维护模式。
继续阅读【漏洞预警】Apache HugeGraph-Server JWT 权限绕过漏洞(CVE-2024-43441)
【漏洞预警】Apache HugeGraph-Server JWT 权限绕过漏洞(CVE-2024-43441) cexlife 飓风网络安全 2024-12-27 13:34 漏洞描述: Apache HugeGraph-Server是Apache HugeGraph 项目的核心部分,它是一个分布式图数据库系统,旨在处理大规模图形数据集,支持图形模型的存储、查询和分析,官方披露CVE-2024-
继续阅读锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点
锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点 网安百色 2024-12-27 11:40 点击上方 蓝字 关注我们吧~ 近日,网络安全研究人员在 锐捷网络 的云管理平台中发现多个严重漏洞,这些漏洞可能使攻击者全面控制网络设备,进而对企业和个人用户的网络安全构成重大威胁。 从云端入侵WiFi接入点 来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指
继续阅读【安全圈】Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评级为 9.9 — 立即修补
【安全圈】Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评级为 9.9 — 立即修补 安全圈 2024-12-27 11:01 关键词 安全漏洞 Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞,如果成功利用该漏洞,攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024
继续阅读Qemu重入漏洞梳理 & CVE-2024-3446分析
Qemu重入漏洞梳理 & CVE-2024-3446分析 原创 胡志斌 华为安全应急响应中心 2024-12-27 10:10 1 简介 本文主要是分析CVE-2024-3446漏洞的成因和漏洞的补丁,以及之前的补丁为何失效,顺便对Qemu历史重入漏洞进行了分析梳理 2 时间线 2020/07/21 e1000e重入导致的UAF(还没归为重入问题) 2021/08/23 重入漏洞整理为一类
继续阅读利用AI辅助测试WEB漏洞
利用AI辅助测试WEB漏洞 原创 红色火焰 联想全球安全实验室 2024-12-27 10:07 点击蓝字 关注我们 利用AI辅助 测试WEB漏洞 近年来,人工智能(AI)的飞速发展引发了各领域的广泛关注。AI不仅在内容创作和自动化任务中展现出了巨大的潜力,也在网络安全领域带来了新的机遇和挑战。作为一名白帽子,利用AI来辅助WEB漏洞测试是一种创新的尝试,这种方法可以有效地解放人力资源,让我们有更
继续阅读惊喜开班!系统0day安全-IOT设备漏洞挖掘(第6期)
惊喜开班!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2024-12-27 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexus
继续阅读曝9.9分高危SQL注入漏洞!Apache Traffic Control项目遭遇严重安全危机
曝9.9分高危SQL注入漏洞!Apache Traffic Control项目遭遇严重安全危机 看雪学苑 看雪学苑 2024-12-27 09:59 近日,Apache软件基金会(ASF)紧急发布了针对其开源内容分发网络(CDN)项目——Apache Traffic Control的安全更新,修复了一个被标识为CVE-2024-45387的高危SQL注入漏洞。该漏洞在CVSS评分系统中获得了9.9
继续阅读【CVE-2024-1609】OPPO商城APP存在Webview组件权限提升漏洞致谢公告
【CVE-2024-1609】OPPO商城APP存在Webview组件权限提升漏洞致谢公告 原创 OSRC OPPO安全中心 2024-12-27 09:35 CVE-2024-1609### 漏洞类型 :移动应用漏洞漏洞提交时间:2022-10-13漏洞描述:OPPO商城APP存在Webview组件权限提升漏洞CVE官方链接:https://www.cve.org/CVERecord?id=CV
继续阅读网络安全专家爱用的逆向工具 TOP 9
网络安全专家爱用的逆向工具 TOP 9 点击关注👉 马哥网络安全 2024-12-27 09:01 逆向工程是指解构应用程序的过程,不论使用何种编程语言开发,目的是获得其源代码或其中的任何部分。 逆向工程的代码有助于发现任何程序中的安全风险,也能用于解密任何恶意应用以进行干扰。 在寻找破解敏感数据或加密密钥的过程中,黑客们通常选择逆向工程作为一种选项,以找出整个系统中隐藏漏洞的所在之处。这导致了敏
继续阅读Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713)
Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713) Superhero nday POC 2024-12-27 08:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警
EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-12-27 08:06 0x01 产品简介 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。提供问答互动、学习点评、在线
继续阅读价值$3000的Google Slides IDOR漏洞
价值$3000的Google Slides IDOR漏洞 芳华绝代安全团队 2024-12-27 08:05 2024年最后一波招生——玲珑安全技能提升班 <-点击查看 关注公众号,阅读优质好文。 正文 某天下午,我在办公室用 Google Slides 制作演讲用的幻灯片。幻灯片完成后,我点击了“演示者视图”来预览。在活动期间,我计划与观众进行实时问答,于是上网查找 Google Slid
继续阅读EasyCVR-视频管理平台 taillog 任意文件读取漏洞
EasyCVR-视频管理平台 taillog 任意文件读取漏洞 Superhero nday POC 2024-12-27 07:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践
“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践 奇安信技术研究院 2024-12-27 06:41 近日,“AI+Security” 系列第 4 期线下活动在北京顺利举行,主题聚焦于 “洞” 见未来:AI 驱动的漏洞挖掘新范式,吸引了众多安全领域专家参与。奇安信安全研究员尹斌先生围绕 “基于大模型的漏洞挖掘技术与实践” 展开分享。他深入介绍了大模型与静态代码分析、模糊测
继续阅读Apache MINA 存在严重的满分漏洞,可导致RCE
Apache MINA 存在严重的满分漏洞,可导致RCE DO SON 代码卫士 2024-12-27 06:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 用于构建高性能和可口站网络应用的热门网络应用框架 Apache MINA 中存在一个严重漏洞,CVE-2024-52046,CVSS评分为满分10分,可导致攻击者在易受攻击系统上执行任意代码。用户应立即修复该漏洞。 Apache
继续阅读工具集:TsojanScan【BurpSuite漏洞探测插件】
工具集:TsojanScan【BurpSuite漏洞探测插件】 wolven Chan 风铃Sec 2024-12-27 05:30 工具介绍 TsojanScan 提供了多种扫描模块,支持主动和被动的漏洞探测,优化了扫描性能和兼容性,是一个强大的渗透测试工具。本着市面上各大漏洞探测插件的功能比较单一,TsojanScan 在已有框架的基础上修改并增加常用的漏洞探测POC,会以最少的数据包请求来准
继续阅读Adobe最新漏洞被披露,已有PoC代码流出
Adobe最新漏洞被披露,已有PoC代码流出 工业互联网安全 金瀚信安 2024-12-27 05:27 Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意
继续阅读