【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 SailPoint IdentityIQ访问控制不当漏洞 CVE ID CVE-2024-10905 漏洞类型 访问控制不当 发现时间 2024-12-04 漏洞评分 10.0 漏洞等级 高危 攻击向量 网络 所
继续阅读美英加澳新在堪培拉联合开展“网络哨兵”战术演习 原创 奇安侦察兵 奇安网情局 2024-12-05 07:19 编者按 澳大利亚国防军举行第二届年度“网络哨兵”战术演习,并召集“五眼”联盟国家参加,旨在加强军事网络能力、弹性和训练。 此次演习于9月16日至27日在澳大利亚堪培拉举行,测试了澳大利亚、美国、英国、加拿大和新西兰参演者的作战准备情况,聚焦保护关键基础设施免受复杂威胁。演习期间,参演战术
继续阅读【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞 Undoubted Security 2024-12-05 06:28 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: app="通达OA网络智能办公系统" 利用脚本进行检测:
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐 Mstir 星悦安全 2024-12-05 04:52 点击上方 蓝字 关注我们 并设为 星标 part 01 一、前言 BETTER 工具打包下载地址在文末,不想看介绍直接拉到底下查看即可 前段时间自己在做项目的时候,需要用到一些漏洞扫描工具,以及一些被动扫描的工具,其中BurpSuite中的几个插件起到了关键性的作用,其实在实际
继续阅读CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC 独眼情报 2024-12-05 03:11 Rapid7 的最新研究揭示了 Lorex 2K 室内 Wi-Fi 安全摄像头中的一系列严重漏洞,这引起了消费者对安全的严重担忧。这些漏洞是在 2024 年 Pwn2Own IoT 竞赛期间发现的,攻击者可以利用这些漏洞入侵设备,可能访问实时信息并远程执行恶意代码。 Rapid
继续阅读Lineaje 报告显示开源软件漏洞增多 独眼情报 2024-12-05 03:11 Lineaje 发布了一份报告,强调了全球软件供应链中的漏洞,重点关注开源组件的依赖性。 这份名为《跨越界限:打破信任》的报告由 Lineaje AI Labs 编写,分析了超过 700 万个开源软件包。报告显示,超过 95% 的安全漏洞源自开源软件包依赖项,其中很大一部分漏洞没有已知的修复方法。这一发现凸显了依
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布 独眼情报 2024-12-05 03:11 安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏
继续阅读暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-05 02:55 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞 原创 清风 白帽攻防 2024-12-05 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 金华迪加现场大屏互动系统是一种创新的互动展示解决方案,融合了先进的技术与创意设计,旨在
继续阅读Oracle 警告 Agile PLM 文件泄露漏洞可能被积极利用 Rhinoer 犀牛安全 2024-12-05 01:04 Oracle 已修复 Oracle Agile 产品生命周期管理 (PLM) 中一个未经身份验证的文件泄露漏洞,该漏洞编号为 CVE-2024-21287,有人利用该漏洞作为零日漏洞下载文件。 Oracle Agile PLM 是一个软件平台,使企业能够管理产品数据、流程
继续阅读CISA 警告 Zyxel 防火墙漏洞可能被利用进行攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-05 01:00 导读 美国网络安全机构 CISA 周二警告称,多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667(CVSS 评分为 7.5),是一个高严重性漏洞,影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设
继续阅读思科10年老漏洞,影响ASA软件WebVPN登录页面 E安全 2024-12-05 01:00 E安全消息,12月2日,思科(Cisco)发布有关CVE-2014-2120漏洞的更新安全公告,该漏洞影响思科安全设备ASA软件的WebVPN登录页面。 此漏洞最初于2014年披露,使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 (XSS) 攻击。 Cisco 的最新公告证实了此漏洞正在被积
继续阅读微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击 原创 技术修道场 技术修道场 2024-12-05 00:04 微软近日修复了四个影响其人工智能 (AI)、云计算、企业资源规划 (ERP) 和合作伙伴中心产品的安全漏洞,其中一个漏洞已被用于实际攻击。 图片来源于网络 已被利用的漏洞 被标记为“已检测到利用”的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是一个
继续阅读漏洞预警 | GitLab权限提升漏洞 浅安 浅安安全 2024-12-05 00:03 0x00 漏洞编号 – CVE-2024-8114 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-8114 漏洞类型: 权限提升
继续阅读API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读5th域安全微讯早报【20241205】292期 网空闲话 网空闲话plus 2024-12-04 23:13 2024-12-05 星期四Vol-2024-292 今日热点导读 **1. CISA发布网络监控指南,加强通信基础设施安全 2. Jatoba和Naumen SMP:国产解决方案的理想组合 3. ENISA发布首份欧盟网络安全状况报告,网络威胁水平“相当高” 4. 国际联合行动成功捣毁
继续阅读思科ASA漏洞CVE-2014-2120当前正在被利用攻击 鹏鹏同学 黑猫安全 2024-12-04 23:01 思科警告表示,CVE-2014-2120 ASA漏洞已经在野生攻击中被活跃攻击,并建议客户查看更新的安全通告。该漏洞存在于Cisco Adaptive Security Appliance(ASA)软件的WebVPN登录页面,因为未经身份验证的远程攻击者可以通过跨站脚本(XSS)攻击对
继续阅读【漏洞复现】Wordpress ElementorPageBuilder插件存在文件读取漏洞(CVE-2024-9935) xiachuchunmo 银遁安全团队 2024-12-04 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **WordPress是一款免费开源的内容管理系统(CMS),最初是一个博客平台,但后来发展成为一个功能
继续阅读WordPress Query Console漏洞EXP(CVE-2024-50498) p0et08 Web安全工具库 2024-12-04 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,
继续阅读Zabbix api_jsonrpc.php接口存在SQL注入漏洞CVE-2024-42327 附POC 2024-12-4更新 南风漏洞复现文库 2024-12-04 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Zab
继续阅读钓鱼网页散播银狐木马,远控后门威胁终端安全 原创 火绒安全 火绒安全 2024-12-04 13:44 在当今网络环境下,许多人都有通过搜索引擎下载应用程序的习惯,虽然这种方式简单又迅速,但这也可能被不法分子所利用,通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击,从而进行病毒的传播,危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识,通过官方正规的
继续阅读【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读