【漏洞预警】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667)
【漏洞预警】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) cexlife 飓风网络安全 2024-11-29 13:15 漏洞预警:合勤科技(ZyXEL)是国际著名的网络宽带系统及解决方案供应商,ZLD(Zyxel Linux Distribution)是Zyxel的防火墙操作系统,专为其下一代防火墙 (NGFW) 和统一威胁管理 (UTM) 设备设计,支持高级的网络安全功
继续阅读作者: cve-20
漏洞推送|某信公交apply存在SQL注入漏洞
漏洞推送|某信公交apply存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-29 12:07 漏洞描述 海信智能公交企业管理系统是一款基于大数据和人工智能技术构建的综合管理系统,旨在全面提升公交企业的安全保障能力、运营生产效率、企业管理水平、决策分析能力和乘客出行体验。该系统apply存在SQL注入漏洞,攻击者通过该漏洞获取敏感信息。 资产信息 fofa:”HisModul
继续阅读Microsoft 修复 AI、云和 ERP 安全漏洞;一个在主动攻击中被利用
Microsoft 修复 AI、云和 ERP 安全漏洞;一个在主动攻击中被利用 信息安全大事件 2024-11-29 12:04 Microsoft 已经解决了影响其人工智能 (AI)、云、企业资源规划和合作伙伴中心产品的四个安全漏洞,其中一个漏洞表示已被广泛利用。 标记为“检测到漏洞利用”评估的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是 partner.microsof
继续阅读【安全圈】俄罗斯黑客组织 Romcom 利用 0day 漏洞攻击 Firefox、Tor 用户
【安全圈】俄罗斯黑客组织 Romcom 利用 0day 漏洞攻击 Firefox、Tor 用户 安全圈 2024-11-29 11:01 关键词 黑客 一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”,其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑
继续阅读POC公布:Windows驱动程序暴整数溢出漏洞可致权限提升
POC公布:Windows驱动程序暴整数溢出漏洞可致权限提升 安全客 2024-11-29 10:32 一名独立研究员近期发现了Windows操作系统中ksthunk.sys驱动程序的严重漏洞,该驱动程序负责32位与64位进程间的通信,此漏洞允许攻击者通过整数溢出实现权限提升。该研究员近日在TyphoonPWN 2024大赛中演示了该漏洞的利用,斩获大赛第二名。 该漏洞存在于 CKSAutomat
继续阅读速修复!Advantech 工业WiFi 访问点中存在20个漏洞
速修复!Advantech 工业WiFi 访问点中存在20个漏洞 Ravie Lakshmanan 代码卫士 2024-11-29 10:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Advantech EKI 工业级无线访问点设备中存在20个漏洞,可被攻击者通过提升后的权限绕过认证并执行代码。 上周三,网络安全公司 Nozomi Networks 在一篇文章分析中提到,“这些漏洞带
继续阅读【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现
【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现 河北镌远 河北镌远网络科技有限公司 2024-11-29 10:23 点击箭头处 “蓝色字” ,关注我们哦!! 产品简介 AcrelCloud-3000环保用电监管云平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,通过关联分析、超限分析、停电分析、停限产分析,结合及时发现环保治
继续阅读网络安全动态 一周速览 2024.11.23 – 2024.11.29
网络安全动态 一周速览 2024.11.23 – 2024.11.29 Sugar Delta Insights 2024-11-29 09:30 网络安全动态 一周速览 2024.11.23 – 2024.11.29 政策更新及合规动态 1.四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》 Source:https://www.secrss.com/articl
继续阅读懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞
懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞 Superhero nday POC 2024-11-29 09:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读VPN漏洞和弱凭证助长勒索软件攻击
VPN漏洞和弱凭证助长勒索软件攻击 原创 D1net编译 信息安全D1net 2024-11-29 08:58 点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 据Corvus Insurance报告,第三季度勒索软件攻击激增,近30%的攻击源于攻击者利用VPN漏洞和弱密码进行初步访问。许多事件追溯到过时的软件或保护不足的VPN账户,常见用户名和缺乏多因素身份验证使账户易受攻击。
继续阅读记一次逻辑漏洞(3)
记一次逻辑漏洞(3) 原创 青春计协 青春计协 2024-11-29 08:53 GRADUATION 点击蓝字 关注我们 免责申明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 思路: 一些可以尝试一些特殊的支付方式,比如:XX电商系统支持的支付方式有哪些?微信、支付宝、、货到付款、银联等,但是其
继续阅读记一次20000美元的漏洞挖掘报告(HackOne)
记一次20000美元的漏洞挖掘报告(HackOne) 原创 Trangs 跃迁安全 2024-11-29 08:52 点击上方蓝字加入我们,感谢!!! 01 记一次20000美元的漏洞挖掘报告 Enjoy life A HAPPY LIFE AFTER RAIN 01 漏洞点1: “com.sony.gemstack.org.dvb.user.UserPreferenceManagerImpl”类
继续阅读【漏洞通告】Apache Arrow R package反序列化漏洞(CVE-2024-52338)
【漏洞通告】Apache Arrow R package反序列化漏洞(CVE-2024-52338) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Apache Arrow R package反序列化漏洞 CVE ID CVE-2024-52338 漏洞类型 反序列化 发现时间 2024-11-29 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需
继续阅读【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667)
【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Zyxel ZLD防火墙路径遍历漏洞 CVE ID CVE-2024-11667 漏洞类型 目录遍历 发现时间 2024-11-29 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过
【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过 什么安全 什么安全 2024-11-29 08:43 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 广州和晖科技有限公司综合多年来众
继续阅读Android Native内存型漏洞实例
Android Native内存型漏洞实例 原创 OPPO安珀实验室 OPPO安珀实验室 2024-11-29 08:30 前言 本文将结合5例Android安全公告公开的Native历史漏洞实例,分析C/C++内存型漏洞的产生场景,尤其是由C++面向对象特性导致的漏洞场景。 1.缺乏长度校验导致的堆溢出 漏洞信息 编号:CVE-2023-21118 来源:2023年5月安全公告披露 漏洞类型:I
继续阅读D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞
D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞 Superhero nday POC 2024-11-29 08:27 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告
【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到ProjectSend修复了一个身份验证绕过漏洞,漏洞编号为: CVE-2024-11680。 ProjectSend是一个开源文件共享Web应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版
继续阅读【漏洞通告】Zabbix SQL注入漏洞安全风险通告
【漏洞通告】Zabbix SQL注入漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到Zabbix中修复了一个SQL注入漏洞,漏洞编号为: CVE-2024-42327。 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本
继续阅读【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新
【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新 奇安信 CERT 2024-11-29 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 20
继续阅读Shiro漏洞利用工具
Shiro漏洞利用工具 黑白之道 2024-11-29 06:18 1► 工具介绍 2► 工具使用 C:\Tools\Red_Tools\ShiroEXP>java -jar ShiroEXP.jar -h _____ __ _ ______ _ __ ____ / ___/ / /_ (_) _____ ____ / ____/ | |/ / / __ \ \__ \ / __ \ / /
继续阅读WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频) 原创 余老师 白帽子安全笔记 2024-11-29 05:18 继上篇文章,我们发现使用Adobe 打开PDF 可导致电脑被远程控制《无法被拦截的PDF钓鱼》 ,而现在使用WPS 的用户也面临同样的问题,赶紧一起来看下。 WPS-PDF注入 此方式由于无需利用漏洞,无需伪装,正常PDF 弹出一个对话框要求重定向到外部网站,引导用户下载所谓
继续阅读0day速修 | H3C SecCenter SMP 安全管理平台远程代码执行漏洞
0day速修 | H3C SecCenter SMP 安全管理平台远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-11-29 05:00 漏洞概况 H 3C SecCenter SMP(Security Manager Platform,安全业务管理平台)是一个负责网络安全业务的独立平台。 SMP 能够对网络中的防火墙、入侵防御安全设备进行统一管理,并适应各种网络规模需求,为部
继续阅读edusrc 某中学Swagger接口泄露未授权漏洞挖掘
edusrc 某中学Swagger接口泄露未授权漏洞挖掘 星悦安全 2024-11-29 04:52 一、对目标资产进行信息收集 打开目标网站发现只有一个智慧校园扫码登入、不能直接从登入界面下手,换个思路,先对其指纹和目录扫描均未发现任何有用的信息。 查看API接口,发现该目标存在其他资产 二、对Sping Boot框架进行漏洞利用 发现是Sping Boot框架,使用SpringBoot-Sca
继续阅读仍未出补丁,Windows新的PE漏洞及完整利用代码
仍未出补丁,Windows新的PE漏洞及完整利用代码 二进制空间安全 2024-11-29 03:34 part1 点击上方 蓝字关注我们 往期推荐 解密还原被BitLocker加密的数据 MySQL渗透实战 比netcat更高级的网络渗透基础工具 黑客渗透超级管理终端 一款超乎想象的Windows提权工具 世界顶级渗透测试标准方法 Nmap的三种漏洞扫描模式原理及实战讲解 Windows下24种
继续阅读【漏洞复现】某平台-statusList-sql注入漏洞
【漏洞复现】某平台-statusList-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-29 03:21 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞
「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-11-29 02:30 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现
Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现 原创 神农Sec 神农Sec 2024-11-29 01:38 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI
继续阅读【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式
【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式 原创 剁椒Muyou鱼头 剁椒Muyou鱼头 2024-11-29 01:17 阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Mu
继续阅读