5th域安全微讯早报【20241123】282期
5th域安全微讯早报【20241123】282期 网空闲话 网空闲话plus 2024-11-23 01:25 2024-11-23 星期六**Vol-2024-282 今日热点导读 **1. 乘客要求审计TSA识别技术的隐私与准确性 2. 美国司法部要求谷歌剥离Chrome以严重搜索垄断 3. 《2024年医疗保健网络安全和弹性法案》聚焦加强医疗数据保护 4. 英国饮用水供应因网络事件频发而中断
继续阅读作者: cve-20
Ubuntu发行版修复5个本地提权漏洞,已潜伏10年;AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞
Ubuntu发行版修复5个本地提权漏洞,已潜伏10年;AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞 黑白之道 2024-11-23 01:23 Ubuntu发行版修复5个本地提权漏洞,已潜伏10年; 11 月 22 日消息,科技媒体 bleepingcomputer 于 11 月 20 日发布博文,报道称 Ubuntu Linux 发行版中潜伏 10 年的漏洞被发现,攻击者
继续阅读AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址
AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址 会杀毒的单反狗 军哥网络安全读报 2024-11-23 01:00 导读 流行的远程桌面应用程序 AnyDesk 中发现一个严重漏洞,可能允许攻击者泄露用户的 IP 地址。 该漏洞被编号为 CVE-2024-52940,影响 Windows 系统上的 AnyDesk 8.1.0 及更早版本。 安全研究员 Ebrahim Shafiei (
继续阅读漏洞预警 | D-Link NAS设备远程代码执行漏洞
漏洞预警 | D-Link NAS设备远程代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10915 0x01 危险等级 – 高危 0x02 漏洞概述 D-Link NAS设备是一类专门设计用于家庭和小型企业的网络存储设备。 0x03 漏洞详情 CVE-2024-10915 漏洞类型: 命令注入 影响: 执行任意
继续阅读漏洞预警 | Palo Alto Networks Expedition命令注入、SQL注入和明文存储漏洞
漏洞预警 | Palo Alto Networks Expedition命令注入、SQL注入和明文存储漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-9463 CVE-2024-9464 CVE-2024-9465 CVE-2024-9466 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Netw
继续阅读漏洞预警 | PostgreSQL代码执行漏洞
漏洞预警 | PostgreSQL代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10979 0x01 危险等级 – 高危 0x02 漏洞概述 PostgreSQL是一个免费的对象-关系数据库服务器,它的Slogan是“世界上最先进的开源关系型数据库”。它具有强大的功能、稳定的性能、高度的可扩展性和丰富的数据类型
继续阅读ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略 原创 仙草里没有草噜丶 泷羽Sec 2024-11-22 23:40 ~ 不辞青山,相随与共~ 开箱即用!265种windows渗透工具合集–灵兔宝盒 渗透测试中新手必练的15个靶场 ### 靶场搭建 靶机下载 靶场一套下来共20多G,夸克下载(新用户只要三块)官网的百度不行新用户贵。。: https:/
继续阅读【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞
【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞 xiachuchunmo 银遁安全团队 2024-11-22 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzB
继续阅读【DVWA】RCE远程命令执行实战
【DVWA】RCE远程命令执行实战 原创 儒道易行 儒道易行 2024-11-22 18:00 遇到挑战跟挫折的时侯,我有一个坚定的信念,我可以断气,但绝不能放弃 0.Command Injection(介绍) 命令注入(Command Injection) 是一种安全漏洞,攻击者通过将恶意的命令插入到应用程序或系统的输入中,从而执行未经授权的操作。它通常发生在应用程序允许用户输入某些参数,然后将
继续阅读Nacos Derby命令执行漏洞利用脚本(11月22日更新)
Nacos Derby命令执行漏洞利用脚本(11月22日更新) XiaomingX 网络安全者 2024-11-22 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读通达OA前台任意用户登录漏洞复现
通达OA前台任意用户登录漏洞复现 WIN哥学安全 2024-11-22 14:37 点击上方 蓝字关注我们 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 漏洞描述 通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻
继续阅读【漏洞预警】Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827
【漏洞预警】Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827 cexlife 飓风网络安全 2024-11-22 13:51 漏洞描述: SpringSecurity是开源的身份验证和访问控制框架,由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关,在Spring Securit
继续阅读一次JS接口到通用信息泄露漏洞
一次JS接口到通用信息泄露漏洞 宓湫 UF安全团队 2024-11-22 12:22 经典登入框 开局熟悉经典登入框: 常规sql,xss,万能密码,弱口令,逻辑等等尝试无果 findsomething :打开插件看看匹配到的js接口 当然这里js相关工具建议使用findsomething以及Packer-Fuzzer-master等综合利用去重在进行拼接等操作 JS对抗 拿到上面的js接口,先直
继续阅读AI自动挖洞不是梦,谷歌AI工具OSS-FASZ发现26个开源漏洞
AI自动挖洞不是梦,谷歌AI工具OSS-FASZ发现26个开源漏洞 bug胤 FreeBuf 2024-11-22 11:30 谷歌透露,基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞,包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑:每个漏洞都是使用AI发现的,利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞
继续阅读漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择
漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择 诸葛象 FreeBuf 2024-11-22 11:30 “网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”近几年攻防演练趋向常态化,受到各行各业的高度重视,快速成为检验和持续促进企业安全水平的常规手段。 然而面对的紧迫攻防形势,安全厂商可支配的红队(攻击队)资源有限, 具有丰富实战经验的优秀红队人才往往 供不应求, 而不
继续阅读麻省理工发布2024年最危险的漏洞TOP 25
麻省理工发布2024年最危险的漏洞TOP 25 老布 FreeBuf 2024-11-22 11:30 麻省理工学院(MITRE)收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞,并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击,包括全完接管系统、窃取
继续阅读【安全圈】AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞
【安全圈】AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞 安全圈 2024-11-22 11:04 关键词 安全漏洞 谷歌透露,其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞,包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑:每个漏洞都是使用AI发现的,利用AI生成和增强的模糊测试目标。 提到的Op
继续阅读【安全圈】麻省理工发布2024年最危险的漏洞TOP 25
【安全圈】麻省理工发布2024年最危险的漏洞TOP 25 安全圈 2024-11-22 11:04 关键词 安全漏洞 麻省理工学院(MITRE)收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞,并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击,包括全完
继续阅读网安周讯 | 间谍利用监控系统漏洞,试图窃取我国国家秘密(十一月第4期)
网安周讯 | 间谍利用监控系统漏洞,试图窃取我国国家秘密(十一月第4期) 网安加社区 2024-11-22 10:11 专家群聊 扫码进群,与行业专家深入交流探讨 或添加安仔微信号:xiaoankt02 , 邀请进群 往期推荐 1. 网安周讯 | 支付宝崩了!网友反映:支付失败、被重复扣款…(十一月第3期) 2. 网安周讯 | 以安全风险为由,又一国家“封禁”TikTok(十一月第2期 ) 点击
继续阅读命令执行漏洞绕过方法总结
命令执行漏洞绕过方法总结 原创 LULU 红队蓝军 2024-11-22 10:01 命令执行漏洞绕过方法总结 操作系统管道符 Windows系统管道符 | :直接执行后面的语句,|前面的命令结果作为后面命令的参数 || :前面的命令执行成功,则后面的命令不会执行;前面的命令执行失败,则后面的命令执行 & :前面和后面命令都要执行,无论前面真假。注意:使用的时候要把&进行URL
继续阅读“赏金猎人”自述,漏洞挖掘错误示范
“赏金猎人”自述,漏洞挖掘错误示范 蚁景网络安全 2024-11-22 09:44
继续阅读Src漏洞挖掘-拼出来的严重漏洞
Src漏洞挖掘-拼出来的严重漏洞 Z2O安全攻防 2024-11-22 09:42 No.0 前言 挖洞就是要多思考,我是爱思考的张三,给大家分享一个严重漏洞的挖掘思路。 ,我是 No.2 实战过程 1、A站点重置密码处需要提供账号即学号,以及姓名,接下来需要信息收集到姓名,学号,以及后面会用到的手机号。 2、主站SSO重置密码输入工号即学号,通过信息收集到证书站学号 语法,site:xxx.ed
继续阅读【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138)
【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138) 启明星辰安全简讯 2024-11-22 08:48 一、漏洞概述 漏洞名称 NVIDIA Base Command Manager身份验证缺失漏洞 CVE ID CVE-2024-0138 漏洞类型 身份验证缺失 发现时间 2024-11-22 漏洞评分 9.8 漏洞等级 高危
继续阅读九思OA dl.jsp 任意文件读取漏洞复现及POC
九思OA dl.jsp 任意文件读取漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-22 08:43 FOFA body="/jsoa/login.jsp" 漏洞复现 将payload进行base64编码 POC POST /jsoa/dl.jsp?JkZpbGVOYW1lPS4uLy4uLy4uL1dFQi1JTkYvd2ViLnhtb
继续阅读躺平预告!漏洞挖掘的赚钱姿势
躺平预告!漏洞挖掘的赚钱姿势 蚁景网安 2024-11-22 08:30
继续阅读宏景eHR uploadLogo.do 任意文件上传漏洞
宏景eHR uploadLogo.do 任意文件上传漏洞 Superhero nday POC 2024-11-22 08:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读什么!这条PoC/EXP的作者竟是?
什么!这条PoC/EXP的作者竟是? 原创 Chili GobySec 2024-11-22 08:00 不知道有没有细心的师傅发现,在今天我们的例行更新的漏洞列表中,有个漏洞被打上了一个神秘的标签。 想必大家已经猜到了,这条是首个由Goby安全社区的新成员—AI Bot所创作编写的PoC/EXP。给Goby提交过漏洞的同学都知道,每一个Goby的漏洞上线,都需要经过层层审核,不止是PoC的检测逻
继续阅读7zip 远程代码执行漏洞预警,需手动更新
7zip 远程代码执行漏洞预警,需手动更新 二道情报贩子 2024-11-22 07:10 7-zip zstandard 解压缩整数下溢远程代码执行漏洞 CVE 编号 CVE-2024-11477漏洞 CVSS 评分 7.8 漏洞详情 此漏洞允许远程攻击者在受影响的 7-Zip 安装上执行任意代码。要利用此漏洞,需要与此库交互,但攻击媒介可能因实施而异。 具体缺陷存在于 Zstandard 解压
继续阅读