【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 Apache Struts 2远程代码执行漏洞 CVE ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读CNNVD关于Apache Struts安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-12-12 07:31 点击蓝字 关注我们 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677) 风险通告 阿里云应急响应 2024-12-12 06:11 2024年12月,Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。 01 风险描述 Apache Struts 是一个
继续阅读poc管理工具|精准漏扫|附10w+poc|Wavely|有他就够了 原创 淮橘安全 淮橘安全 2024-12-12 02:08 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读ZASRC漏洞接收资产范围更新 原创 ZASRC 众安安全应急响应中心 2024-12-12 02:00 各位白帽子: ZASRC漏洞接收公司及域名范围都更新啦!来看看吧—— (一)ZASRC漏洞接收公司最新范围如下: 众安在线财产保险股份有限公司 众安在线保险经纪有限公司 众安科技(国际)集团有限公司 上海豹云网络信息服务有限公司 众安信息技术服务有限公司 上海暖哇科技有限公司 (二)ZASRC
继续阅读【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProFTPD在1.3.9rc2之前的版本中存在一个权限提升漏洞。经过身份验证的用户如果没有明确得加入任何附加组,会错误地从父进程继承附加组GID 0(root)。攻击者可以利用该漏洞将普通用户权限提升至root权限,严重可导致服务器失陷。02
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProjectSend 存在身份认证绕过漏洞,未授权的攻击者可以利用该漏洞修改应用程序的配置,执行任意命令,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称ProjectSend身份认证绕过漏洞漏洞编号CVE编号CV
继续阅读最高级!安恒信息获评工信部NVDB漏洞治理合作“三星级技术支撑单位” 安恒信息 2024-12-12 01:02 近日,2024年第十三届电信和互联网行业网络安全年会在北京召开。在会上,工信部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库对2024-2025年度技术支撑单位进行授牌,安恒信息凭借 在网络产品安全漏洞管理方面作出的杰出贡献,被授予“ 三星级 技术支撑单位” (最
继续阅读记一次接口fuzz+逻辑漏洞拿下证书站高危 扫地僧的茶饭日常 2024-12-12 01:00 扫码领资料 获网安教程 本文由掌控安全学院 – kpc 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、站点选择 依旧是按照可注册进站的思路搜索资产,因为是打证书站所以只需要按照域名搜索即可,关键字中加上注册,后台等即可,具体语法
继续阅读DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析 原创 韭菜 fraud安全 2024-12-12 00:30 漏洞文件定位 根据漏洞通告提示问题点在反序列化 全局查找反序列化关键字 漏洞分析 构造反序列化payload通过POST 请求query 参数直接获取 反向追踪,发现airinblog_fun_loadmore_post_cat 和airinblog
继续阅读漏洞发现,除了漏扫还能靠啥? 原创 ThreatBook 微步在线 2024-12-12 00:26 1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事
继续阅读探索开源 C2 框架中的漏洞 原创 Vipersec SecretTeam安全团队 2024-12-12 00:01 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些
继续阅读工具 | ShiroEXP 浅安 浅安安全 2024-12-12 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ShiroEXP是一款Shiro漏洞利用工具。**** 0x01 功能说明 – 爆破key及加密方式 漏洞验证 爆破回显链 命令执行 Shell模式 注入内存马 全局代理 0
继续阅读漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-42448 CVE-2024-42449 0x01 危险等级 – 高危 0x02 漏洞概述 Veeam Service Provider Console是Veeam Software
继续阅读漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-8785 0x01 危险等级 – 高危 0x02 漏洞概述 WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网
继续阅读Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击! 原创 Hankzheng 技术修道场 2024-12-11 23:56 紧急速报 近日,文件传输软件巨头Cleo的产品爆出严重安全漏洞,允许未经身份验证的攻击者远程执行代码。安全公司Huntress发现,黑客组织Termite疑似利用该漏洞,已对全球多家企业发动攻击,并植入勒索软件。 漏洞详情 – 漏洞
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读Windows 11 12 月补丁星期二修复了 72 个漏洞和一个零日漏洞 原创 很近也很远 网络研究观 2024-12-11 15:40 微软于 2024 年 12 月为 Windows 11 发布的补丁星期二修复了其产品生态系统中的 72 个漏洞,包括 Windows 通用日志文件系统驱动程序中一个被积极利用的零日漏洞。 这个严重漏洞可以通过基于堆的缓冲区溢出授予攻击者系统权限,使其成为此版本
继续阅读微软2024年12月份于周二补丁日针对72漏洞发布安全补丁 原创 何威风 祺印说信安 2024-12-11 13:19 微软完成了 2024 年补丁星期二更新,修复了其软件产品组合中 总共 72 个安全漏洞 ,其中包括一个据称已被野蛮利用的漏洞。 在这 72 个漏洞中,17 个被评为严重,54 个被评为重要,1 个被评为中等严重程度。其中 31 个漏洞是远程代码执行漏洞,27 个漏洞允许提升权限。
继续阅读Ivanti最严重的 CSA 认证绕过漏洞曝光 老布 FreeBuf 2024-12-11 12:06 12月11日,Ivanti 向客户发出警告,提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。 这个安全漏洞(编号 CVE-2024-11639)能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易受攻击设备上获
继续阅读渗透测试小练习(1)尝试一个图形验证码绕过的复现 原创 catfish 透明魔方 2024-12-11 11:30 今天一起练习一个好玩简单的东东——尝试一下图形验证码绕过的复现。 图形验证码一般在登录处都会有,所以这招我感觉可以一招鲜吃遍天。 反正都快速试一下,说不定就挖个小低危,对于刚入行还未独立开始测试的工程师来说掌握一下也不错的。 这个测试点主要是看图形验证码是不是重复有效的,比如我们指定
继续阅读涉及72个漏洞!微软发布12月补丁日安全通告 你信任的 亚信安全 2024-12-11 10:58 近日,亚信安全CERT监测到微软12月补丁日发布了针对72个漏洞的修复补丁。其中,16个漏洞被评为紧急,1个漏洞被评为高危,54个漏洞被评为重要,1个漏洞被评为中等,其中共包括27个特权提升漏洞,31个远程代码执行漏洞,5个拒绝服务漏洞,7个信息泄漏漏洞,2个欺骗漏洞。本月16个漏洞被评为紧急,分别
继续阅读