【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)安全风险通告 奇安信 CERT 2024-12-18 05:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Tomcat 远程代码执行漏洞 漏洞编号 QVD-2024-51272,CVE-2024-50379 公开时间 2024-12-17 影响量级 十万级 奇安信评级 高
继续阅读cve-2024-53376:CyberPanel RCE 已发布PoC 棉花糖fans 2024-12-18 04:55 安全研究员 Thanatos 发现流行的虚拟主机控制面板 CyberPanel 存在一个严重漏洞 (CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。2.3.8 之前的 CyberPanel 版本易受此安全漏洞影响,通过验证的用户可注入并执行操作系统 (O
继续阅读【漏洞预警】 Apache Tomcat default servlet条件竞争文件上传漏洞(CVE-2024-50379) cexlife 飓风网络安全 2024-12-18 04:19 漏洞描述: Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,2024年12月18日,官方披露CVE-2024-50379Apache Tomcat de
继续阅读【已复现】Apache Tomcat条件竞争致远程代码执行漏洞(CVE-2024-50379) 长亭安全应急响应中心 2024-12-18 03:54 Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部署企业级 We
继续阅读【最新Struts2高危漏洞】Apache Struts CVE-2024-53677 原创 威胁监测 Gaobai文库 2024-12-18 03:18 0x00 漏洞描述 近日,平台监测到Apache Struts框架存在文件上传漏洞(CVE-2024-53677)。该漏洞存在于文件上传逻辑中,若使用了FileUploadInterceptor,攻击者可能通过构造恶意请求,利用目录遍历上传文件
继续阅读打印机也有“隐形”威胁?这些安全漏洞请注意! 中泊研团队 中泊研安全应急响应中心 2024-12-18 03:04 打印机是高校企业不可或缺的办公工具,从最初的单机操作到如今的网络共享打印,其功能和连接方式经历了翻天覆地的变化。 然而,随着网络化程度的提高,打印机的安全问题也逐渐浮出水面。 网络打印的安全隐患 在追求便捷的同时,我们可能忽视了潜在的风险。如果打印机配置不当或存在安全漏洞,可能会给使
继续阅读渗透测试——曲折的文件上传漏洞 原创 有恒 有恒安全 2024-12-18 03:04 漏洞挖掘 网站功能点上没有看到有文件上传接口,页面上没有不代表不存在。 打开f12查看网页代码,看到一个文件上传的接口。 拼接构造文件上传数据包,发现没有成功,看起来这个接口不是直接上传文件的。 继续f12查看该页面的代码,发现了上传点,继续构造数据包上传。 上传文件数据包报错,根据报错信息得知缺少path与F
继续阅读【漏洞复现】某平台-getTotalData-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-18 02:25 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身 原创 犀利猪 犀利猪安全 2024-12-18 02:20 文章转载至: https://xz.aliyun.com/t/16747 作者:消失的猪猪 0x00 文章前言 一次客户系统的测试,全程码死,整个系统存在多种类型漏洞。给大家看看,展开思路,自我感觉属于是相当经典的一次测试,漏洞也是相当经典的几种漏洞。 0x01 测试开始 开局一个登
继续阅读Apache Struts RCE (CVE-2024-53677) POC公开 棉花糖糖糖 剁椒鱼头没剁椒 2024-12-18 02:07 详情 Apache Struts 框架中存在一个关键漏洞 CVE-2024-53677。该漏洞在 CVSSv4 严重性等级中被评为 9.5 级,允许远程攻击者利用文件上传逻辑中的缺陷执行任意代码。 CVE-2024-53677 影响一系列 Apache
继续阅读最新的Windows内核漏洞,可获system权限 天唯科技 天唯信息安全 2024-12-18 01:58 网络安全和基础设施安全局(CISA)已将两个新的漏洞添加到其已知被利用漏洞目录中,其中一个是涉及 Windows 内核的漏洞,目前正被用于攻击。 该漏洞编号为CVE-2024-35250,具体是在 Windows 的 ks.sys 驱动中存在的“不受信任的指针解引用”。这个漏洞可以通过利用
继续阅读充值499元成为VIP,开通权限后随时可约!|神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单; 黑白之道 2024-12-18 01:56 充值499元成为VIP,开通权限后随时可约! “充值499元成为VIP 可与美女约会!” 还有这等好事? 近日有人落入圈套 先充会员再刷单 11月1日19时 家住日照高新的小王刷视频 时 看到一条 “同城交友”广告 “充值499注册成为会员 可与美女约会
继续阅读苹果HomeKit出现安全漏洞被间谍机构利用 目前具体漏洞细节尚未公布 湖南省网络空间安全协会 2024-12-18 01:45 近期臭名昭著的以色列商业间谍软件开发商 NSO 集团的飞马座( Pegasus)间谍软件被发现攻击了两名塞尔维亚的 iPhone 用户。调查结果表明,NSO 利用了一种新开采的漏洞,可能涉及到苹果的智能家居服务 HomeKit 套件。 值得注意的是,这次攻击是由苹果公司
继续阅读安全大数据平台的上游、下游系统有什么 原创 Hash先生 全栈网络空间安全 2024-12-18 01:29 安全大数据平台的上游系统主要包括以下几类: 数据产生与采集系统 : 网络设备 :如防火墙、入侵检测系统/入侵防御系统(IDS/IPS)、路由器、交换机等,会产生大量的网络连接日志、访问控制列表(ACL)日志、流量数据等,记录着网络中的通信行为和潜在威胁,为安全大数据平台提供了网络层面的安全
继续阅读神【漏洞!】任意修改车牌号码,让其他车主支付过路费和罚单 安全内参编译 安小圈 2024-12-18 00:45 安小圈 第569期 漏洞 · (美国) 数字车牌 Reviver公司销售的数字车牌已在美国全境使用,但车主可以通过破解这些车牌,规避交通法规甚至逃避执法部门的监控。 安全内参12月17日消息,美国越来越多的州已经可以合法购买数字车牌,并在全国范围内使用。与传统金属车牌相比,数字车牌具有
继续阅读品牌焕新升级!“WaBug漏洞响应平台”正式起航,开启崭新篇章 实战安全攻防专家 云众可信 2024-12-18 00:30 在全球数字化转型浪潮的推动下,网络安全已成为企业生存与发展的关键防线。早在2016年,IBG云众可信敏锐洞察到云化服务的迫切需求,率先推出了云众可信众测平台,助力客户高效搭建企业专属应急响应中心,全面夯实网络安全基石。 为了更好地满足客户多元化需求,紧跟行业发展步伐,云众可
继续阅读.NET LINQPad 最新反序列化漏洞分析与利用 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-18 00:29 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读漏洞预警 | 圣乔ERP系统SQL注入漏洞 浅安 浅安安全 2024-12-18 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 圣乔ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资源的优化配置和高效利用。 0x03 漏洞详情 漏洞类型: SQL注入 影响:
继续阅读漏洞预警 | 用友U8CRM SQL注入漏洞 浅安 浅安安全 2024-12-18 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8CRM是一款功能全面、灵活定制的客户关系管理软件,能够帮助企业建立健全、改善与客户之间的关系,提高客户满意度和获利能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息
继续阅读CVE-2024-48307:JeecgBoot SQL注入漏洞 进击的HACK 2024-12-17 23:55 关注我们❤️,添加星标🌟,一起学安全!作者:hexixi@Timeline Sec 本文字数:2248阅读时长:2~4mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot
继续阅读Dirty DAG:微软Azure数据工厂的Apache Airflow集成中的新漏洞 网空闲话 网空闲话plus 2024-12-17 23:34 Palo Alto Networks的Unit42研究人员在Azure数据工厂与Apache Airflow集成中发现了三个漏洞,包括两个配置错误和一个身份验证漏洞。这些漏洞可能使攻击者获得对Azure云基础设施的镜像管理员权限,从而带来数据泄露、恶
继续阅读【神兵利器】帆软BI反序列漏洞利用工具 7wkajk 七芒星实验室 2024-12-17 23:06 项目介绍 此工具是一款用于针对帆软BI反序列漏洞利用的工具,主要为安全评估人员提供安全测试便利,目前支持jackson、hibernate、cb反序列化链来进行利用 工具界面 工具使用 dnslog功能: 命令执行回显: 免责声明 该工具仅用于安全自查检测,由于传播、利用此工具所提供的信息而造成的
继续阅读大众汽车集团的信息娱乐系统存在多个漏洞,可能导致车辆被攻击 鹏鹏同学 黑猫安全 2024-12-17 23:04 来自网络安全公司PCAutomotive的一队安全研究人员发现了大众汽车集团某些车辆使用的信息娱乐单元中存在多个漏洞。远程攻击者可以利用这些漏洞实现某些控制并实时追踪车辆的位置。 由Danila Parnishchev和Artem Ivachev领导的团队发现了MIB3信息娱乐系统中的
继续阅读【大量存在】飞鱼星-路由器存在敏感信息泄露漏洞 xiachuchunmo 银遁安全团队 2024-12-17 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **成都飞鱼星科技股份有限公司成立于2002年,公司现有全场景(行业)无线网络解决方案、公安审计解决方案、星云平台、企业级无线路由器、企业上网行为管理路由、智能家居解决方案、全屋W
继续阅读【漏洞预警】热门摄像头曝零日漏洞,黑客借此入侵政府部门 鲲鹏实验室 天防安全 2024-12-17 22:00 关键词 零日漏洞 据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。 PTZ摄像机是一
继续阅读PbootCMS entrance.php SQL注入漏洞 Superhero nday POC 2024-12-17 17:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读万能门店小程序管理系统 onepic_uploade 任意文件上传漏洞 Superhero nday POC 2024-12-17 16:30 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读XXL-JOB默认accessToken身份绕过RCE漏洞 船山信安 2024-12-17 16:00 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调
继续阅读【已复现】Apache Struts文件上传漏洞(CVE-2024-53677) cexlife 飓风网络安全 2024-12-17 15:21 漏洞描述: Apache Struts是一个开源的、用于构建企业级Java Web应用的MVC框架,2024年12月,官方披露CVE-2024-53677ApacheStruts FileUploadInterceptor文件上传漏洞,在受影响版本中,若
继续阅读【安全漏洞】Apache Struts任意文件上传漏洞S2-067【CVE-2024-53677】 POC 已发布 原创 Eleven Liu 安全有术 2024-12-17 15:15 漏洞概述 Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。 Apache发布安全公告修复了Apache St
继续阅读