【漏洞复现】某平台-tag-sql注入漏洞
【漏洞复现】某平台-tag-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-04 04:09 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由
继续阅读作者: cve-20
ProFTPD 权限提升漏洞(CVE-2024-48651)安全风险通告
ProFTPD 权限提升漏洞(CVE-2024-48651)安全风险通告 奇安信 CERT 2024-12-04 03:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ProFTPD 权限提升漏洞 漏洞编号 QVD-2024-48879,CVE-2024-48651 公开时间 2024-11-29 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.1 威胁类型
继续阅读一文学会fastjson漏洞
一文学会fastjson漏洞 simple学安全 simple学安全 2024-12-04 02:55 目录 漏洞简介 fastjson是一个高性能的json解析器和生成器,广泛用于Java项目中。fastjson允许开发者自定义反序列化行为,以便可以根据json中的不同字段自动创建不同类型的对象。 在Java中,反序列化是将字节数据(通常是json格式)转化回对象的过程。然而,fastjson在
继续阅读知名开源监控系统Zabbix存在SQL 注入漏洞
知名开源监控系统Zabbix存在SQL 注入漏洞 天唯科技 天唯信息安全 2024-12-04 02:38 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击,进而利
继续阅读智联云采 SRM2.0 receiptDetail SQL注入漏洞
智联云采 SRM2.0 receiptDetail SQL注入漏洞 Superhero nday POC 2024-12-04 02:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读CVE-2017-7504 JBOSS反序列化漏洞复现
CVE-2017-7504 JBOSS反序列化漏洞复现 原创 Kiand 网安知识库 2024-12-04 02:00 一、漏洞描述 JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 二、漏洞环境搭
继续阅读Veeam 警告服务提供商控制台中存在严重 RCE 漏洞
Veeam 警告服务提供商控制台中存在严重 RCE 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-04 01:00 导读 Veeam 今天发布了安全更新,以解决两个服务提供商控制台 (VSPC) 漏洞,其中包括在内部测试期间发现的严重远程代码执行 (RCE)。 该公司将 VSPC 描述为远程管理的 BaaS(后端即服务)和 DRaaS(灾难恢复即服务)平台,服务提供商控制台用来监控客户备
继续阅读Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御
Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御 原创 繁星01 安全君呀 2024-12-04 00:10 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请
继续阅读漏洞预警 | 致翔OA SQL注入漏洞
漏洞预警 | 致翔OA SQL注入漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 致翔OA是一款专注于协同办公与企业管理的办公自动化系统,旨在提升企业管理效率和信息化水平。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 致翔OA的/OpenWind
继续阅读漏洞预警 | Eking管理易任意文件上传漏洞
漏洞预警 | Eking管理易任意文件上传漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 EKing管理易是广州易凯软件技术有限公司专为广告制品制作企业开发的一款管理软件产品。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意文件**** 简述: EKing管理易的/B
继续阅读漏洞预警 | 7-Zip整数下溢漏洞
漏洞预警 | 7-Zip整数下溢漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – CVE-2024-11477 0x01 危险等级 – 高危 0x02 漏洞概述 7-Zip是一款免费开源文件归档应用程序,具有高压缩比,可用于压缩和解压文件,支持多种存档格式。 0x03 漏洞详情 CVE-2024-11477 漏洞类型: 整数下溢 影响: 执行任
继续阅读VMware发布更新,修复墨云科技报告的高危漏洞
VMware发布更新,修复墨云科技报告的高危漏洞 关键信息基础设施安全保护联盟 2024-12-03 23:30 **VMware发布更新,修复墨云科技报告的漏洞CVE-2024-38830、CVE-2024-38831。墨云建议广大用户做好资产自查以及预防工作,以免遭受恶意攻击。 墨云安全应急响应中心 时间:2024.12.03 漏洞描述 墨云科技VLab实验室监测到VMware官方发布了VMS
继续阅读【神兵利器】Jeecg综合漏洞利用工具
【神兵利器】Jeecg综合漏洞利用工具 MInggongK 七芒星实验室 2024-12-03 23:05 项目介绍 Jeecg综合漏洞利用工具程序采用javafx开发,环境JDK 1.8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规 漏洞支持 – jeecg-boot queryFieldBySql远程命令执行漏洞 jeecg-boot testConnec
继续阅读发现利用LogoFAIL漏洞的BootKitty Linux UEFI启动工具包
发现利用LogoFAIL漏洞的BootKitty Linux UEFI启动工具包 鹏鹏同学 黑猫安全 2024-12-03 23:03 ESET安全研究人员最近发现了第一个专门攻击 Linux 系统的 UEFI 启动工具包,名为 Bootkitty。该工具包允许攻击者禁用 Linux 内核的签名验证功能,并在 Linux 初始化过程中预加载两个未知的 ELF 可执行文件。11 月 2024 年,一
继续阅读「漏洞复现」用友U8 CRM lead/leadconversion.php SQL注入漏洞
「漏洞复现」用友U8 CRM lead/leadconversion.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-03 22:02 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读CVE-2024-42327 Zabbix 严重漏洞POC已公开!
CVE-2024-42327 Zabbix 严重漏洞POC已公开! 原创 一个不正经的黑客 一个不正经的黑客 2024-12-03 16:01 CVE-2024-42327 Zabbix API SQL注入漏洞公开POC 漏洞情况 官方通报: https://support.zabbix.com/browse/ZBX-25623 漏洞类型: SQL 注入(SQL Injection, CWE-89
继续阅读单兵漏洞测试工具 — Yakit
单兵漏洞测试工具 — Yakit W4nk3r Web安全工具库 2024-12-03 16:01 Yakit,一个集成化的单兵漏洞测试工具,也是我用起来较为顺手的一个测试工具, 今天想从最基本的环境配置到漏洞挖掘中的实战一步步进行讲解 环境配置:yakit提供两种mitm中间人攻击环境配置 一种是无环境配置,另一种是有环境配置 无环境配置:电脑上下载谷歌浏览器,然后点击免配置启动,直
继续阅读【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422)
【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422) 飓风网络安全 2024-12-03 15:20 漏洞描述: Dеll NеtWоrkеr,版本1910包含一个通过用户控制的密钥绕过授权的漏洞,未经认证的攻击者如果能够远程访问,可能会利用这个漏洞导致信息泄露,攻击者可能通过远程访问,利用用户控制的密钥绕过授权,导致信息泄露。影响产品:N/A<=NetWor
继续阅读searchsploit漏洞辅助利用工具
searchsploit漏洞辅助利用工具 原创 simeon的文章 小兵搞安全 2024-12-03 15:04 在提权过程中需要通过掌握的信息来对系统、软件等存在的漏洞进行搜索,获取其利用的poc,通过编译后,实施提权。searchsploit提供漏洞本地和在线查询,是渗透测试中提权的重要武器。 1.1searchsploit简介 Exploit Database(https://github.
继续阅读GitLab漏洞汇总
GitLab漏洞汇总 实战安全研究 2024-12-03 14:37 本文首发于freebuf,原文地址: https://www.freebuf.com/vuls/411902.html 申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 0x00 介绍 GitLab是一款Ruby开发的Git项目管理平台,主要针
继续阅读自助彩票机成“提款机”?3人利用系统漏洞窃取220余万元
自助彩票机成“提款机”?3人利用系统漏洞窃取220余万元 检察日报 商密君 2024-12-03 14:05 近年来,自助彩票机广受年轻消费者喜爱,是一种新型彩票销售方式。它分布范围广,购买便利,24小时服务。消费者可以随时在自助彩票机上买到自己喜欢的彩票产品。其中即开型彩票,就是俗称的“刮刮乐”,是最受年轻人追捧的彩票类型。没想到,于某、黄某、李某竟利用自助彩票机系统延迟的漏洞,窃取资金220余
继续阅读漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞
漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞 小白菜安全 小白菜安全 2024-12-03 12:11 漏洞描述 时空精益仓储管理系统(时空WMS)可以达到简化工作流程,提高仓库作业质量和工作效率的目的。该系统SaveCrash.ashx存在文件上传漏洞。 资产信息 fofa:body=”SKControlKLForJson.ashx̶
继续阅读【复现】泛微 e-cology前台SQL注入漏洞风险通告
【复现】泛微 e-cology前台SQL注入漏洞风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-03 11:20 赛博昆仑漏洞安全通告- 泛微 e-cology前台SQL注入漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大
继续阅读两个影响WPS Office的任意代码执行漏洞分析
两个影响WPS Office的任意代码执行漏洞分析 zhuanfa 黑客街安全团队 2024-12-03 11:17 转发 freebuf ESET研究人员在WPS Office for Windows中发现了一个代码执行漏洞(CVE- 2024-7262),该漏洞正被韩国网络间谍组织APT-C-60滥用。在分析了根本原因后,另一种任意代码执行漏洞(CVE-2924-7263)浮出水面。目前,两个
继续阅读新型恶意软件能利用LogoFAIL漏洞感染Linux系统
新型恶意软件能利用LogoFAIL漏洞感染Linux系统 Zicheng FreeBuf 2024-12-03 11:02 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Logo
继续阅读【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞
【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞 安全圈 2024-12-03 11:00 关键词 安全漏洞 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入
继续阅读【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统
【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统 安全圈 2024-12-03 11:00 关键词 恶意软件 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Lo
继续阅读年末冲刺!2024漏洞马拉松『美团站』正式启动
年末冲刺!2024漏洞马拉松『美团站』正式启动 美团安全应急响应中心 2024-12-03 10:30 活动范围 美团及旗下开放在互联网的应用系统 (美团控股公司漏洞视情况收取,暂停收录系统见平台公告) 提交地址 https://security.meituan.com 活动规则 漏洞标题必须标注【漏洞马拉松2024】前缀,否则无法享受活动奖励;本活动不与平台其他活动同享。 注意事项 1.当发现入
继续阅读docker历史上的第一个漏洞:关于shocker的一切
docker历史上的第一个漏洞:关于shocker的一切 原创 王磊 华为安全应急响应中心 2024-12-03 10:10 1 基本信息 Item Details Note Project docker — CVE-ID CVE-2014-3519(OpenVZ) 公开时docker已部分修复,未分配CVE Vuln's Author Sebastian Krahmer — CVSS 9
继续阅读Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞
Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞 Ionut Arghire 代码卫士 2024-12-03 10:03 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zabbix 提醒称其开源企业网络监控解决方案中存在一个严重漏洞,可导致攻击者注入任意SQL查询并攻陷数据或系统。 该漏洞的编号是CVE-2024-42327(CVSS评分9.9),位于任何拥有API访问权限可访问
继续阅读