Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现
Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现 原创 神农Sec 神农Sec 2024-12-24 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用ID
继续阅读作者: cve-20
52套.NET系统漏洞威胁情报(12.24更新)
52套.NET系统漏洞威胁情报(12.24更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-24 00:29 52 某特订单系统SQL注入 52.1 漏洞概述 某 特网上订单管理系统getUser**.ashx存在SQL注入漏洞 GET /ajax/getUser**.ashx?locadCode=admin%27/**/and(select+1)>0waitfor/**/d
继续阅读(1day)全媒体采编平台存在未授权访问漏洞
(1day)全媒体采编平台存在未授权访问漏洞 原创 WebSec WebSec 2024-12-24 00:22 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读漏洞预警 | SitecoreCMS任意文件读取漏洞
漏洞预警 | SitecoreCMS任意文件读取漏洞 浅安 浅安安全 2024-12-24 00:01 0x00 漏洞编号 – # CVE-2024-46938 0x01 危险等级 – 高危 0x02 漏洞概述 Sitecore是一个全球领先的数字体验管理平台,以增强的内容管理系统和数字营销功能而闻名。 0x03 漏洞详情 CVE-2024-46938 漏洞类型: 任意文件
继续阅读漏洞预警 | 中科网威anysec安全网关远程代码执行漏洞
漏洞预警 | 中科网威anysec安全网关远程代码执行漏洞 浅安 浅安安全 2024-12-24 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 中科网威ANYSEC安全网关基于Linux平台自主研发生产,集上网行为管理、流量监控、防火墙、VPN、路由交换、多线路负载均衡等多功能于一体,是一种在线部署于局域网与广域网之间的Al
继续阅读漏洞预警 | CyberPanel命令执行漏洞
漏洞预警 | CyberPanel命令执行漏洞 浅安 浅安安全 2024-12-24 00:01 0x00 漏洞编号 – # CVE-2024-53376 0x01 危险等级 – 高危 0x02 漏洞概述 CyberPanel是一个开源的Web控制面板,它提供了一个用户友好的界面,用于管理网站、电子邮件、数据库、FTP账户等。 0x03 漏洞详情 CVE-2024-5337
继续阅读【EDU】勤云科技期刊采编CMS存在SQL注入漏洞
【EDU】勤云科技期刊采编CMS存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **勤云科技发展有限公司自2002年从事期刊信息化服务行业,是目前中国最大的期刊信息化综合服务提供商,也是中国服务用户最多、经验最丰富的期刊信息化企业之一,自成立以来勤云
继续阅读【处置手册】Apache Tomcat条件竞争代码执行漏洞(CVE-2024-50379/CVE-2024-56337)
【处置手册】Apache Tomcat条件竞争代码执行漏洞(CVE-2024-50379/CVE-2024-56337) 原创 NS-CERT 绿盟科技CERT 2024-12-23 16:07 通告编号:NS-2024-0037-1 2024-12-23 TAG: Tomcat、条件竞争、代码执行、CVE-2024-50379、CVE-2024-56337 漏洞危害: 攻击者利用该漏洞,可实现远
继续阅读蓝凌EKP V16 未授权SQL注入漏洞分析
蓝凌EKP V16 未授权SQL注入漏洞分析 船山信安 2024-12-23 16:05 本地测试环境版本:V16.0.6.R.20220729 漏洞分析 漏洞路径在:/fssc/common/fssc_common_portlet/fsscCommonPortlet.do,对应的Action为FsscCommonPortletAction ,在其getICareByFdId 方法中存在注入漏洞:
继续阅读Bazaar v1.4.3 任意文件读取漏洞(CVE-2024-40348)
Bazaar v1.4.3 任意文件读取漏洞(CVE-2024-40348) NingXin2002 Web安全工具库 2024-12-23 16:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安
继续阅读渗透测试 — 系统漏洞扫描
渗透测试 — 系统漏洞扫描 Web安全工具库 2024-12-23 16:02 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/76fdb1cfff65 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb5a474
继续阅读远程代码执行漏洞检测利用工具
远程代码执行漏洞检测利用工具 db1235800 网络安全者 2024-12-23 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x01 工具介绍 XET
继续阅读YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC
YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC 2024-12-23更新 南风漏洞复现文库 2024-12-23 15:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YourPHPCMS 简介 微信公
继续阅读【漏洞预警】Poppler越界读取漏洞(CVE-2024-56378)
【漏洞预警】Poppler越界读取漏洞(CVE-2024-56378) cexlife 飓风网络安全 2024-12-23 13:55 漏洞描述: Pоррler通过24.12.0版本中的libроррlеr.ѕо存在一个越界读取漏洞,该漏洞位于JBIG2Strеаm.сс文件中的JBIG2Bitmар::соmbinе函数内,Poppler安全漏洞(CVE-2024-56378)是一个高危的越界
继续阅读G.O.S.S.I.P 阅读推荐 2024-12-23 那些挖漏洞的团队(伙)
G.O.S.S.I.P 阅读推荐 2024-12-23 那些挖漏洞的团队(伙) 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-12-23 12:50 今天介绍的这篇IEEE S&P 2025论文Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Boun
继续阅读价值1.4 W人民币漏洞!
价值1.4 W人民币漏洞! 迪哥讲事 2024-12-23 12:41 价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 正文 这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。 我当时在测试一个电子商务网站。 该网站有两个资产在测试范围内: target.com 和 admin.target.com。 其中 target.com 是面向用户的门户,用户可以在上面购买商品
继续阅读【工具分享】Tomcat CVE-2024-50379 条件竞争文件上传 exp RCE
【工具分享】Tomcat CVE-2024-50379 条件竞争文件上传 exp RCE Undoubted Security 2024-12-23 12:33 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 使用方法 本位摘自: https://github.com/SleepingBag945/CVE-2024-5
继续阅读「漏洞复现」灵当CRM getMyAmbassador SQL注入漏洞
「漏洞复现」灵当CRM getMyAmbassador SQL注入漏洞 冷漠安全 冷漠安全 2024-12-23 10:34 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读每周网安资讯 (12.17-12.23)|Apple多款产品存在漏洞
每周网安资讯 (12.17-12.23)|Apple多款产品存在漏洞 交大捷普 2024-12-23 10:14 2024[ 每周网安资讯 ]12.17-12.23 网安资讯 1、四部门发布《中小企业数字化赋能专项行动方案(2025—2027年)》通知 方案中提出以习近平新时代中国特色社会主义思想为指导,贯彻落实习近平总书记关于加快推进新型工业化、促进中小企业专精特新发展系列重要指示精神,将推动中
继续阅读NDSS 2025|Prompt泄露风险:抖音集团安全研究团队揭露多租户KV缓存共享漏洞
NDSS 2025|Prompt泄露风险:抖音集团安全研究团队揭露多租户KV缓存共享漏洞 原创 安全研究团队 字节跳动技术团队 2024-12-23 10:03 抖音集团安全研究团队和南方科技大学可信系统安全实验室合作的研究论文揭示了大语言模型安全领域服务框架的侧信道漏洞,利用多租户场景下的KV缓存共享机制精确恢复了用户提示词。 本工作成果《I Know What You Asked: Promp
继续阅读速更新!Sophos 热修复严重的防火墙漏洞
速更新!Sophos 热修复严重的防火墙漏洞 Ravie Lakshmanan 代码卫士 2024-12-23 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Sophos 发布热修复方案,修复了位于 Sophos 防火墙产品中的三个漏洞。这些漏洞可用于实现远程代码执行并在一定条件下导致提权访问系统。 在这三个漏洞中,其中两个是“严重”等级,目前尚未有证据表明这些漏洞已遭在野利用
继续阅读【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2024-50379)
【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2024-50379) 安恒研究院 安恒信息CERT 2024-12-23 09:57 漏洞概述 漏洞名称 Apache Tomcat存在远程代码执行漏洞(CVE-2024-50379) 安恒CERT评级 2级 CVSS3.1评分 8.1(安恒自评) CVE编号 CVE-2024-50379 CNVD编号 未分配 CNNVD编号
继续阅读【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2024-56337)
【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2024-56337) 安恒研究院 安恒信息CERT 2024-12-23 09:57 漏洞概述 漏洞名称 Apache Tomcat存在远程代码执行漏洞(CVE-2024-56377) 安恒CERT评级 2级 CVSS3.1评分 8.1(安恒自评) CVE编号 CVE-2024-56377 CNVD编号 未分配 CNNVD编号
继续阅读安全热点周报:Windows 内核漏洞现被利用来获取系统权限
安全热点周报:Windows 内核漏洞现被利用来获取系统权限 奇安信 CERT 2024-12-23 09:55 安全资讯导视 • 国务院审议通过《公共安全视频图像信息系统管理条例(草案)》 • CNCERT披露两起美对我大型科技企业机构网络攻击事件 • 产品漏洞被利用致大量用户数据泄露,Meta被罚超19亿元 PART01 漏洞情报 1.Apache Tomcat远程代码执行漏洞(CVE-20
继续阅读九年磨砺,再启新程!谈思AutoSec 9周年年会报名正式启动~~
九年磨砺,再启新程!谈思AutoSec 9周年年会报名正式启动~~ 谈思实验室 2024-12-23 09:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 车更聪明了,但更安全吗?让AI接管方向盘,把车辆行驶安全托付给电脑,这样的场景如今不再稀奇。但从安全角度而言,针对车联网平台的网络攻击连年攀升,网络安全、数据安全等现实挑战依旧制约着“聪明的车”与“智慧的路”。车联网安全问题成为横亘在
继续阅读警惕!高危漏洞利用成为美国对中国企业网络攻击突破口
警惕!高危漏洞利用成为美国对中国企业网络攻击突破口 奇安信集团 2024-12-23 09:11 近日,国家互联网应急中心(CNCERT)通报已处置了两起疑似源自美国情报机构对我国大型科技企业进行网络攻击窃取商业秘密事件。通过对两起事件综合分析,发现了其共同特征:攻击者首先利用目标企业部署的第三方软件系统中的安全漏洞进行渗透,随后借助植入的木马或后门程序进一步窃取敏感信息。 显然,这两家科技企业之
继续阅读【漏洞通告】Craft CMS 远程代码执行漏洞(CVE-2024-56145)
【漏洞通告】Craft CMS 远程代码执行漏洞(CVE-2024-56145) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-12-23 08:52 漏洞名称: Craft CMS 远程代码执行漏洞(CVE-2024-56145) 组件名称: Craft CMS 影响范围: 5.0.0-RC1 ≤ Craft CMS < 5.5.24.0.0-RC1 ≤ Craft CMS <
继续阅读雷神众测漏洞周报2024.12.16-2024.12.22
雷神众测漏洞周报2024.12.16-2024.12.22 原创 雷神众测 雷神众测 2024-12-23 08:02 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读路径遍历漏洞技巧手法
路径遍历漏洞技巧手法 雾鸣安全 2024-12-23 07:55 雾鸣Team CNMistSafety 分享一个路径遍历漏洞技巧手法 1、文件管理系统,用户可以上传和重命名文件。用户上传了一个名为 ../../etc/passwd 的文件,然后尝试将其重命名为 newfile.txt。 2、用户上传文件: 用户上传了一个名为 ../../etc/passwd 的文件。由于路径拼接的方式,这个文件
继续阅读