霄壤实验室获Apache社区致谢,永信至诚「数字风洞」测评中心提醒:Apache Tomcat 存在远程执行漏洞请尽快修复 永信至诚 2024-12-18 12:42 2024年12月17日,Apache Tomcat 官方发布安全通告,修复了一个存在于Apache Tomcat 开源组件中的远程代码执行漏洞(CVE-2024-50379)。作为该开源社区参与者,永信至诚春秋GAME团队霄壤实验室
继续阅读【高危 含POC】Tomcat 远程代码执行漏洞(CVE-2024-50379) 迪哥讲事 2024-12-18 12:31 一、漏洞描述 Apache Tomcat 远程代码执行漏洞,该漏洞允许攻击者在特定条件下绕过Tomcat的大小写检查,上传恶意文件并执行远程代码,可能导致服务器被完全控制,数据泄露或服务中断。 二、利用条件 在Windows系统下启用PUT请求方式,并将readonly初始
继续阅读【复现】Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-18 12:02 赛博昆仑漏洞安全通告- Tomcat DefaultServlet远程代码执行漏洞(CVE-2024-50379)风险通告 漏洞描述 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容
继续阅读漏洞马拉松2024 | 团体对抗,锋芒毕现! 漏洞盒子VulBox 漏洞盒子VulBox 2024-12-18 11:37 一想到上周大起大落的排行榜, 蛙的心脏就有些承受不住…… 好在经过积分赛的厮杀, 本次马拉松的24强终于诞生! 接下来的对抗赛,他们随机组成了8个队伍 进行两两团体对抗, 即将决出4强战队! 千锤百炼出英雄, 新的SRC活动也赶来并肩作战 一起见证最强团体的诞生! 2024
继续阅读【漏洞预警】Apache Tomcat 条件竞争漏洞(CVE-2024-50379) 原创 聚焦网络安全情报 安全聚 2024-12-18 11:30 严 重 公 告 近日,安全聚实验室监测到 Apache Tomcat 存在条件竞争漏洞 ,编号为:CVE-2024-50379,CVSS:9.8 此漏洞允许未经身份验证的攻击者在启用默认 servlet 写入时对不区分大小写的文件系统进行远程命令
继续阅读从零开始:K8s安全测试与漏洞挖掘-8 原创 枇杷哥 黑伞安全 2024-12-18 10:56 在这一挑战中,参与者需要深入到一个Pod的容器镜像中,检查其Elastic Container Registry (ECR)存储库中的图层,并从中找出隐藏的秘密。这个任务与之前的Registry Hunt类似,但这次重点放在了AWS ECR上。 技术点: Kubernetes Pods 和 Secre
继续阅读黑客通过漏洞赏金赚取了80万美元 管窥蠡测 安在 2024-12-18 10:27 就像西部荒野的赏金猎人一样,漏洞赏金猎人也会踏上长途旅程,以获取丰厚的奖赏,这些奖赏有时甚至能高达数十万美元。作为漏洞赏金猎人中的一员,Neiko Rivera,这位曾梦想成为职业滑板手梦想的年轻人,却一度陷入无家可归、生活困顿的境地。 曾经,Neiko深知自己必须找到赚钱的途径,但却不知从何入手。滑板之路似乎并不
继续阅读蓝凌OA thirdimsyncforkkwebservice 任意文件读取漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-18 10:12 FOFA app="Landray-OA系统" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0
继续阅读第十七期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-12-18 10:00 锤炼安全金钥,共筑安全防线 安钥®「漏洞处置标准作业程序(SOP)」征文启示 第17期 12月18日 – 12月28日 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补
继续阅读大众信息娱乐单元存在多个漏洞,可用于实时追踪车辆位置 代码卫士 2024-12-18 09:59 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini**** 编译:代码卫士 网络安全公司 PCAutomotive 在大众集团使用的一些汽车的信息娱乐单元中发现了多个漏洞,可被用于远程实现某种程度的控制并实时追踪车辆位置。 由Danila Parnishchev 和 Ar
继续阅读超2.5万SonicaWall VPN 防火墙易受严重漏洞影响 Bill Toulas 代码卫士 2024-12-18 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 超过2.5万台可公开访问的 SonicWall sslvpn 设备易受多个严重漏洞影响,其中2万台使用 SonicOS/OSX 固件版本的设备已不再受厂商支持。 网络安全公司 Bishop Fox 分析了今年披露的
继续阅读【免费领】挖洞宝典:全网搜罗的漏洞挖掘实战技巧大全 蚁景网络安全 2024-12-18 09:35 点击蓝字/关注我们 今日福利 网安大佬漏洞挖掘技巧大全 0基础入门,快速掌握漏洞实战技术 全程案例解析信息收集、漏洞挖掘等技巧 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “1218” , 免费领取~【请注意: 不要直接 回复 公众
继续阅读知名企业深陷漏洞“迷局”,网络安全专家组队“破局”! 天融信教育 2024-12-18 09:35 近期,天融信接到一家知名企业求助 在一次常规安全检查中 客户发现系统中存在多个未授权访问漏洞 Spring Boot Actuator、Redis、Swagger API 等敏感信息暴露无遗 为黑客敞开一扇扇“方便之门” 越权访问、弱口令攻击等安全事件层出不穷 如同一颗颗“隐形地雷” 企业信息安全体
继续阅读【漏洞通告】Apache Tomcat 竞争条件远程代码执行漏洞(CVE-2024-50379) 启明星辰安全简讯 2024-12-18 09:29 一、漏洞概述 漏洞名称 Apache Tomcat 竞争条件远程代码执行漏洞 CVE ID CVE-2024-50379 漏洞类型 TOCTOU竞争条件 发现时间 2024-12-18 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限
继续阅读Tomcat CVE-2024-50379 条件竞争漏洞 原创 iak3ec 薛定谔的安全 2024-12-18 09:28 https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r 受影响版本: Apache Tomcat 11.0.0-M1 to 11.0.1Apache Tomcat 10.1.0-M1 to 10.1.
继续阅读漏洞风险提示 | Tomcat 条件竞争漏洞导致远程RCE(CVE-2024-50379) 原创 chunn1 边界无限 2024-12-18 09:17 漏洞简介 在Apache Tomcat 9.X、Apache Tomcat 10.X、Apache Tomcat 11.X系列的某些版本中,如果默认 servlet 对大小写不敏感的文件系统(如windows、macos)启用了写入功能(rea
继续阅读【漏洞通告】Tomcat 远程代码执行漏洞(CVE-2024-50379) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-12-18 09:16 漏洞名称: Tomcat 远程代码执行漏洞(CVE-2024-50379) 组件名称: Apache Tomcat 影响范围: 9.0.0.M1 ≤ Apache Tomcat < 9.0.9810.1.0-M1 ≤ Apache Tomca
继续阅读【论文速读】| 利用人工智能修复 OSS-Fuzz 中的安全漏洞 原创 知识分享者 安全极客 2024-12-18 09:00 基本信息 原文标题:Fixing Security Vulnerabilities with AI in OSS-Fuzz 原文作者:Yun Tong Zhang, Jiawei Wang, Dominic Berzin, Martin Mirchev, Dongge L
继续阅读网络产品安全能力提升计划漏洞线下检测(第一期)活动成功举办 中国网络空间安全协会 2024-12-18 08:58 2024年12月10日-13日,网安协会在武汉市国家网络安全人才与创新基地举办网络产品安全能力提升计划漏洞线下检测(第一期)活动。该活动共计13家单位参与,此次活动汇聚了来自网络安全各个领域的专家和企业代表,旨在通过网络产品的线下集中检测,及时发现并识别产品可能存在的安全漏洞,进而督
继续阅读产品漏洞被利用致大量用户数据泄露,这家巨头被罚超19亿元 安全内参编译 安全内参 2024-12-18 08:25 关注我们 带你读懂网络安全 Meta(Facebook)在2018年披露了一起安全事件,攻击者利用产品功能设计漏洞,抓取了约2900万个Facebook账号的个人信息,其中约300万个账号位于欧盟; 爱尔兰数据保护委员会认为,Meta违反了GDPR的数据保护设计原则,未能采取适当措施
继续阅读信息安全漏洞周报(2024年第51期) 原创 CNNVD CNNVD安全动态 2024-12-18 08:16 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月9日至2024年12月15日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1265个。 接报漏洞情况 本周CNNVD接报漏洞28587个,其中信息技术产品漏洞(通用型漏洞)293个
继续阅读【漏洞通告】Apache Tomcat条件竞争代码执行漏洞(CVE-2024-50379) 原创 NS-CERT 绿盟科技CERT 2024-12-18 08:12 通告编号:NS-2024-0037 2024-12-18 TAG: Tomcat、条件竞争、代码执行、CVE-2024-50379 漏洞危害: 攻击者利用该漏洞,可实现远程代码执行 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT
继续阅读瞄准安全研究人员!攻击者在GitHub上使用伪造PoC窃取39万WordPress凭证 安全客 安全客 2024-12-18 08:07 Datadog Security Labs的网络安全研究人员发现,名为MUT-1244的威胁行为者发起了一项为期一年的恶意攻击活动,导致超过39万个WordPress凭证被盗。 研究称,该行为者利用一个伪造的WordPress凭证检查工具来窃取数据,被感染系统中
继续阅读研究发现:CVSS 漏洞评分系统存在严重缺陷 数世咨询 2024-12-18 08:00 摩根大通(JPMorganChase)的网络安全专家认为,网络安全行业可能因对CVSS评分过于依赖而误解了漏洞的严重程度,从而影响了修复工作的进展。 在本周四的黑帽欧洲大会上,代表们接到了一个通知:当前用于评估软件与硬件漏洞严重程度的全行业标准方法需要进行调整,因为这种方法可能会带来潜在误导性的评估结果。 通
继续阅读【漏洞通告】Apache Tomcat远程代码执行漏洞安全风险通告 嘉诚安全 2024-12-18 07:32 漏洞背景 近日,嘉诚安全监测到Apache官方发布安全公告,修复了一个Apache Tomcat远程代码执行漏洞,漏洞编号为: CVE-2024-50379。 Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序。它实现了Java Se
继续阅读安全通告丨网络安全漏洞通告(2024年12月) 创信华通 2024-12-18 07:25 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2024.12 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通
继续阅读泛微ecology9 1day分析 安全绘景 2024-12-18 07:18 0x01 前言 挺久没发文了,这段时间也忙,然后也是不知道写什么,发下看泛微的时候记的部分笔记吧,水水,冒个泡证明还在。 0x02 分析 下载补丁包,根据官方更新的时间,编写脚本筛选对应时间的补丁文件 。 可结合安全通告进一步确定漏洞类型。 脚本代码: import os import argparse from da
继续阅读自动化漏洞利用工程:从理论到实践的旅程 Ots安全 2024-12-18 07:10 在2024年的H2HC会议上,由@chompie和@FuzzySec主讲的关于自动化漏洞利用工程的讨论。以下是我对这次演讲的总结和一些个人见解。 自动化为何重要? 随着现代缓解措施的增加和系统复杂性的提升,手动构建漏洞利用变得越来越劳动密集。自动化不仅能提高效率,还能减轻研究人员的负担,使他们能专注于更复杂的逆向
继续阅读Apache Tomcat 条件竞争文件上传漏洞(CVE-2024-50379) 风险通告 阿里云应急响应 2024-12-18 06:51 2024年12月,Apache 官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞 01 风险描述 Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。2024年12月,
继续阅读通杀漏洞|CVE-2024-50379 Apache Tomcat条件竞争RCE SecHub网络安全社区 2024-12-18 05:21 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在
继续阅读