【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架
【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架 安全圈 2024-12-16 11:00 关键词 安全漏洞 近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequoi
继续阅读作者: cve-20
漏洞通告|Cleo 任意文件读写漏洞(CVE-2024-50623)
漏洞通告|Cleo 任意文件读写漏洞(CVE-2024-50623) 威胁情报运营中心 矢安科技 2024-12-16 10:40
继续阅读每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞
每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞 交大捷普 2024-12-16 10:14 2024[ 每周网安资讯 ]12.10-12.16 网安资讯 1、中国计算机学会首届中国数字金融大会开幕 2024年12月7日,由中国计算机学会(CCF)主办,CCF数字金融分会、同济大学、上海立信会计金融学院联合承办的CCF首届中国数字金融大会在上海开幕,以“创新·融合·安
继续阅读警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险
警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险 安全客 2024-12-16 09:51 最近,Oasis Security的研究团队揭示了一个严重的漏洞,影响了微软Azure的多因素身份验证(MFA)系统,可能使数百万用户的敏感信息面临被攻击的风险。该漏洞允许攻击者在没有用户交互或通知的情况下,轻松获得对Outlook电子邮件、OneDrive文件、Teams聊天和Azure云服务
继续阅读fscan存在命令注入漏洞[doge][doge]
fscan存在命令注入漏洞[doge][doge] 原创 qianbenhyu 小肥羊安全 2024-12-16 09:36 一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下 # Vulnerable way to build command command = exec.Command("cmd", "/
继续阅读【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-16 09:27 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 CNNVD-20241
继续阅读安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 奇安信 CERT 2024-12-16 09:20 安全资讯导视 • 国家发改委公布《电力监控系统安全防护规定》修订版 • 美商务部发布ICTS最终规则,确保信息与通信技术和服务供应链安全 • 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首 PART01 漏洞情报 1.Apache Struts文件上传漏洞安全风险通告
继续阅读3倍积分奖励!抖音电商情报专测上线
3倍积分奖励!抖音电商情报专测上线 字节跳动安全中心 2024-12-16 08:51 专测时间 12月16日-12月29日 专测范围 资产范围 本次专项仅针对抖音中国区电商。不包括抖音生活服务、抖音外卖。 专测奖励 严重、高危情报享3倍积分 中危、低危情报享有1.5倍积分 重点情报类型 报告要求 提交时所属应用类型选择「安全情报」 漏洞标题必须备注【电商情报】,否则无法享受活动激励! 测试规范
继续阅读74cms v4.2.1 v4.2.129 后台getshell漏洞
74cms v4.2.1 v4.2.129 后台getshell漏洞 闻人语默 老鑫安全 2024-12-16 08:04 点击蓝字 关注我们 漏洞描述 厂商:74cms下载地址: http://www.74cms.com/download/index.html 关于版本:新版的74cms采用了tp3.2.3重构了,所以可知底层是tp,74cms新版升级是后台升级的,所以先将将升级方法。注:此漏洞
继续阅读Exp-Tools:一款集成高危漏洞EXP的实用工具
Exp-Tools:一款集成高危漏洞EXP的实用工具 海底天上月 海底生残月 2024-12-16 07:51 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 !
继续阅读(0day)月子会所ERP某接口存在文件读取漏洞
(0day)月子会所ERP某接口存在文件读取漏洞 原创 websec WebSec 2024-12-16 06:41 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
继续阅读【漏洞文章】JeecgBoot 任意用户密码重置
【漏洞文章】JeecgBoot 任意用户密码重置 1ang 小羊安全屋 2024-12-16 06:23 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏洞
继续阅读CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布 Ots安全 2024-12-16 06:15 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问托管受影响 Spring 应用程序的服务器上的敏感
继续阅读CVE-2024-45337:Golang 加密库存在缺陷,存在授权绕过风险
CVE-2024-45337:Golang 加密库存在缺陷,存在授权绕过风险 Ots安全 2024-12-16 06:15 Golang 加密库中发现了一个严重安全漏洞,编号为 CVE-2024-45337(CVSS 9.1)。此漏洞源于对ServerConfig.PublicKeyCallback 函数的滥用,可能导致应用程序和库中的授权绕过。 问题的根源: PublicKeyCallback函
继续阅读知名开源生物医学工具(InVesalius 3.1)存在远程代码执行漏洞 CVE-2024-42845
知名开源生物医学工具(InVesalius 3.1)存在远程代码执行漏洞 CVE-2024-42845 Ots安全 2024-12-16 06:15 这篇博文主要讨论了一个存在于开源医学成像工具(InVesalius 3.1)中的 远程代码执行漏洞,该漏洞通过恶意篡改 DICOM 文件来实现攻击,导致应用程序执行恶意的 Python 代码。 以下是文章的主要内容和技术背景解析: 1. 漏洞概述:
继续阅读【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819)
【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819) 原创 宬室司阍 埋藏酱油瓶 2024-12-16 05:38 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 CVE-2024-38819: PoC Poc: curl http://localhost:8080/static/link/%2e%2e/etc/passwd Poc环境验证 1. 构建
继续阅读CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布
CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布 独眼情报 2024-12-16 04:34 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问受影响 Spring 应用程序所在服务
继续阅读【0day】某州数码DCME-320存在前台任意文件读取漏洞
【0day】某州数码DCME-320存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-12-16 04:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 DCME-320是北京神州数码云科信息技术有限公司采用MIPS多核高性能处理器,针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。 Fofa指纹:”style/blue/css/d
继续阅读【$25000】利用Zendesk Nday获取漏洞赏金
【$25000】利用Zendesk Nday获取漏洞赏金 白帽子左一 白帽子左一 2024-12-16 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇博客中,我将分享如何在 Zendesk 客户的默认配置中发现模板注入漏洞。 发现契机 有一天,我看到了 Rojan Rijal dai 分享的一篇文章,他演
继续阅读九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 Superhero nday POC 2024-12-16 03:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞复现】某平台-Template-readfile-任意文件读取漏洞
【漏洞复现】某平台-Template-readfile-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-16 02:53 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读玩儿转网站备份泄漏漏洞
玩儿转网站备份泄漏漏洞 原创 xazlsec 信安之路 2024-12-16 02:49 在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。 该漏洞的
继续阅读【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞
【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-16 02:28 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读昂捷CRM cwsfiledown.asmx 任意文件读取漏洞
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 Superhero nday POC 2024-12-16 02:11 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读XXE 漏洞检测工具
XXE 漏洞检测工具 黑白之道 2024-12-16 02:07 01 工具介绍 这是一个 XXE 漏洞检测工具,支持 DoS 检测(DoS 检测默认开启)和 DNSLOG 两种检测方式,能对普通 xml 请求和 xlsx 文件上传进行 XXE 漏洞检测。 02 使用说明 03 工具下载 *https://github.com/Weijin-wj/XXECheck* 文章来源:夜组安全 黑白之道发
继续阅读【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 原创 红岸基地赵小龙 暗影网安实验室 2024-12-16 02:02 事件经过 近期,安全研究人员发现大众旗下斯柯达部分车型的车载信息娱乐系统存在多个漏洞,这些漏洞可能被攻击者利用以远程控制特定功能并追踪汽车位置。PCAutomotive在黑帽欧洲大会(Black Hat Europe)上披露了
继续阅读【MalDev红队开发】笔记阶段汇总
【MalDev红队开发】笔记阶段汇总 原创 玄鹄安全 高级红队专家 2024-12-16 02:00 1-前言 首先感谢各位大佬客官的支持和鼓励,目前【MalDev红队开发】系列已经完成前两部分共8个章节的实战笔记梳理,基本完全复现教材中的内容,教材中缺失的命令也进行了补全,笔记章节如下: 【MalDev-00】学习环境准备 【MalDev-01】基础入门 【MalDev-02】注入基础与实战 【
继续阅读SRC漏洞挖掘思路手法(非常详细)
SRC漏洞挖掘思路手法(非常详细) 原创 菜狗 富贵安全 2024-12-16 01:15 这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。 很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有
继续阅读Clop 勒索软件组织对利用Cleo 0day窃取数据负责
Clop 勒索软件组织对利用Cleo 0day窃取数据负责 会杀毒的单反狗 军哥网络安全读报 2024-12-16 01:00 导读 Clop 勒索软件团伙向 BleepingComputer 证实,他们是最近 Cleo 数据盗窃攻击的幕后黑手,利用零日漏洞侵入公司网络并窃取数据。 Cleo 是托管文件传输平台 Cleo Harmony、VLTrader 和 LexiCom 的开发商,公司使用这些
继续阅读实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载)
实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载) 原创 sspsec SSP安全研究 2024-12-16 00:57 在本次金融系统安全测试中,我们从一个日志泄露问题入手,逐步挖掘并利用了系统弱口令和越权访问漏洞,最终实现了对后台系统的高权限接管。本次分享将带您全程回顾漏洞挖掘过程及系统安全的防护建议。 🔍 1. 日志泄露 – 敏感信息曝光 漏洞描述 我们使用自研的Sp
继续阅读