雷神众测漏洞周报2024.10.08-2024.10.13
雷神众测漏洞周报2024.10.08-2024.10.13 原创 雷神众测 雷神众测 2024-10-15 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读作者: cve-20
记录生生不息的创新力量|2024 年度「InnoForce 50」启动
记录生生不息的创新力量|2024 年度「InnoForce 50」启动 极客公园 2024-10-15 12:03 10月10日,瑞典皇家科学院决定将 2024 年诺贝尔物理学奖授予约翰·J·霍普菲尔德 (John J. Hopfield) 和杰弗里·E·辛顿 (Geoffrey E. Hinton),以「表彰他们通过人工神经网络实现机器学习的基础性发现和发明」。这一决定不仅彰显了人工智能技术对现
继续阅读上周关注度较高的产品安全漏洞(20240930-20241013)
上周关注度较高的产品安全漏洞(20240930-20241013) 国家互联网应急中心CNCERT 2024-10-15 10:52 一、境外厂商产品漏洞 1、Siemens Simcenter Nastran堆缓冲区溢出漏洞 Simcenter Nastran是一个计算性能,精度和可靠性的有限元方法求解器。Siemens Simcenter Nastran存在堆缓冲区溢出漏洞,攻击者可利用该漏洞
继续阅读DataCon2024漏洞分析赛道 | 快来“挖洞”了,46万赏金等你拿!
DataCon2024漏洞分析赛道 | 快来“挖洞”了,46万赏金等你拿! 助力DataCon的 补天平台 2024-10-15 10:01 由清华大学网络科学与网络空间研究院、奇安信集团、蚂蚁集团、广东联通、百度安全、赛尔网络主办,复旦大学计算机科学技术学院、西安交通大学、 腾讯安全应急响应中心、北京蓝莲网安科技有限公司协办的DataCon 2024大数据安全分析竞赛 报名正在进行中 。本届比赛
继续阅读【漏洞预警】Fortinet Fortiproxy未授权外部资源引用不当漏洞可致远程代码执行
【漏洞预警】Fortinet Fortiproxy未授权外部资源引用不当漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-14 23:57 漏洞描述:Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。20
继续阅读【漏洞预警】Fortinet Fortiproxy越界写入漏洞
【漏洞预警】Fortinet Fortiproxy越界写入漏洞 cexlife 飓风网络安全 2024-10-14 23:57 漏洞描述: Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能,Fortinet FortiOS存
继续阅读灵当CRM wechatSession/index.php接口处存在文件上传漏洞 附POC
灵当CRM wechatSession/index.php接口处存在文件上传漏洞 附POC 2024-10-14更新 南风漏洞复现文库 2024-10-14 23:27 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 灵当CRM 简
继续阅读用友GRP-U8 dialog_moreUser_check.jsp SQL注入漏洞(XVE-2024-10610)
用友GRP-U8 dialog_moreUser_check.jsp SQL注入漏洞(XVE-2024-10610) Superhero Nday Poc 2024-10-14 20:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请
继续阅读【成功复现】SpectoLabs hoverfly任意文件读取漏洞(CVE-2024-45388)
【成功复现】SpectoLabs hoverfly任意文件读取漏洞(CVE-2024-45388) 弥天安全实验室 弥天安全实验室 2024-10-14 18:44 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Hoverfly是SpectoLabs开源的一种轻量级的开源 API 模拟工具。Hoverfl
继续阅读Palo Alto 修复多个严重的防火墙漏洞
Palo Alto 修复多个严重的防火墙漏洞 Ryan Naraine 代码卫士 2024-10-14 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Palo Alto Networks 公司修复了位于 Expedition 客户迁移工具中的多个严重漏洞,并提醒称攻击者可借此接管防火墙管理员账户。 这些漏洞由 Horizon3.ai 发现并记录,可导致攻击者读取 Exp
继续阅读安全热点周报:超过 87,000 台 FortiOS 设备易受远程代码执行攻击
安全热点周报:超过 87,000 台 FortiOS 设备易受远程代码执行攻击 奇安信 CERT 2024-10-14 17:15 安全资讯导视 • 广东省教育厅短信平台遭入侵,向师生家长群发非法链接短信 • 打破物理隔离!多个政府机密系统遭APT组织攻破 • 法德网络安全机构联合发布AI编程助手安全使用指南 PART01 漏洞情报 1.Mozilla Firefox释放后重用漏洞安全风险通告
继续阅读.NET 一款通过事件查看器反序列化漏洞绕过UAC的工具
.NET 一款通过事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-14 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具
继续阅读Apache Subversion Windows 平台命令行参数注入漏洞 (CVE-2024-45720)
Apache Subversion Windows 平台命令行参数注入漏洞 (CVE-2024-45720) 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况 在Windows平台上,将命令行参数转换为SubVersion的可执行文件(例如,svn.Exec等)如果处理特制的命令行参数字符串,可能会导致意外的命令行参数解释,包括参数注入和其他程序的执行。SubVer
继续阅读UserPlus <= 2.0 – 未经身份验证的权限提升 (CVE-2024-9518)
UserPlus <= 2.0 – 未经身份验证的权限提升 (CVE-2024-9518) 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况 WordPress的UserPlus插件在版本2.0及以下存在权限提升漏洞,因为“form_actions”和“userplus_update_user_profile”函数存在限制不足的问题。这使得未经身份验证的攻击者
继续阅读WordPress WP JobSearch 插件 <= 2.5.9 - PHP 对象注入漏洞
WordPress WP JobSearch 插件 <= 2.5.9 – PHP 对象注入漏洞 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况Eyecix JobSearch中存在不信任数据的反序列化漏洞,允许对象注入。这个问题影响JobSearch的版本从不适用到2.5.9。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称WordPress WP Job
继续阅读【漏洞通告】Lightroom 桌面版越界读取
【漏洞通告】Lightroom 桌面版越界读取 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况Lightroom Desktop版本7.4.1、13.5、12.5.1以及更早版本存在一个越界读取漏洞,可能导致敏感内存泄露。攻击者可能会利用此漏洞绕过诸如ASLR之类的缓解措施。利用此问题需要进行用户交互,即受害者必须打开恶意文件。02 漏洞处置综合处置优先级:高漏洞信息漏洞名
继续阅读EDUSRC漏洞挖掘思路整理
EDUSRC漏洞挖掘思路整理 十二 秘地安全实验室 2024-10-13 15:01 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同
继续阅读「漏洞复现」锐明技术Mangrove系统 任意用户创建漏洞
「漏洞复现」锐明技术Mangrove系统 任意用户创建漏洞 冷漠安全 冷漠安全 2024-10-12 21:15 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需
继续阅读某赛通-数据泄露防护(DLP)多个接口代码执行漏洞
某赛通-数据泄露防护(DLP)多个接口代码执行漏洞 原创 SXdysq 南街老友 2024-10-12 21:14 漏洞描述 亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据
继续阅读FreeBuf周报 | Apache Avro SDK曝关键漏洞;Word神奇Bug会直接删除文件
FreeBuf周报 | Apache Avro SDK曝关键漏洞;Word神奇Bug会直接删除文件 Zicheng FreeBuf 2024-10-12 20:41 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 项目地址 1. 入侵物理隔离的系统,这家APT组织怎么做到的? 将机要系统与任
继续阅读【漏洞预警】Mitel MiCollab SQL注入漏洞
【漏洞预警】Mitel MiCollab SQL注入漏洞 cexlife 飓风网络安全 2024-10-12 19:39 漏洞描述: Mitel发布关于MiCollab软件中高严重性SQL注入漏洞的安全公告,此漏洞源于用户输入未充过滤,攻击者可通过特制请求进行SQL注入攻击。若被利用,攻击者可能获取非敏感用户配置数据,还能执行任意SQL数据库查询使系统无法正常运行,建议受影响客户及时升级到最新版本
继续阅读致远oa表单导入任意文件写入漏洞分析
致远oa表单导入任意文件写入漏洞分析 原创 莫大130 安全逐梦人 2024-10-12 19:34 环境搭建 1 2 链接:https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码:h7kz (1)安装mysql数据库(针对A8版本)。创建一个新的数据库,字符集设置为UTF-8。如果是A6版本,如 A6v6.1、A6v6.1sp1、
继续阅读【安全圈】GitLab 曝出严重漏洞,可能导致任意 CI/CD 管道执行
【安全圈】GitLab 曝出严重漏洞,可能导致任意 CI/CD 管道执行 安全圈 2024-10-12 19:00 关键词 安全漏洞 近日,GitLab 发布了社区版(CE)和企业版(EE)的安全更新,以解决八个安全漏洞,其中包括一个可能允许在任意分支上运行持续集成和持续交付(CI/CD)管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164,CVSS 得分为 9.6(满分 10 分),攻击者
继续阅读BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入
BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入 原创 TEST安全 TEST安全 2024-10-12 17:42 BlueCMS 1.6漏洞复现 CVE-2024-45894任意删除文件漏洞+SQL注入 BlueCMS 1.6 安装包下载: http://www.xsssql.com/wp-content/uploads/2024/10/bluecms-m
继续阅读Hoverfly 任意文件读取漏洞(CVE-2024-45388)
Hoverfly 任意文件读取漏洞(CVE-2024-45388) 原创 标准云 蚁景网络安全 2024-10-12 17:36 漏洞简介 Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation 的 POST 处理程序允许用户从用户指定的文件内容中创建新的模拟视图。然而,这一功能可能被攻击者利用来读取 Hoverfl
继续阅读CVE-2024-38816 Spring路径穿越漏洞分析复现
CVE-2024-38816 Spring路径穿越漏洞分析复现 原创 xaitx 天启实验室 2024-10-12 17:28 漏洞介绍 Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。 2024年9月13日,监测到Spring Framework中修复了一个路径遍历漏洞(CVE-2024-38816),该漏洞的CVSS评分为7.5。 S
继续阅读【在野利用】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告
【在野利用】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告 奇安信 CERT 2024-10-12 17:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 2024-1
继续阅读个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛览
个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛览 安全牛 2024-10-12 12:01 点击蓝字·关注我们 / aqniu 新闻速览 • 个人数据资产可以变现了?国家数据局已官方辟谣 •中央网信办部署开展“清朗·规范网络语言文字使用”专项行动 •欧盟通过《网络韧性法案》,全面提升数字产品安全标准 •微软将在新版Windows系统中
继续阅读漏洞案例:提升Self-XSS危害
漏洞案例:提升Self-XSS危害 原创 玲珑安全 芳华绝代安全团队 2024-10-11 22:47 Self-XSS利用1 目标应用程序为某在线商店,在其注册页面的First Name字段中注入XSS Payload: 注册成功,但当我尝试登录我的帐户时,界面显示403 Forbidden,即无法登录我的帐户。 我很好奇为什么我无法登录我的帐户,所以我打开了 Burp 并拦截了登录请求,以查看
继续阅读漏洞推送|某户协同办公平台GeneralWeb_XXE漏洞
漏洞推送|某户协同办公平台GeneralWeb_XXE漏洞 小白菜安全 2024-10-11 21:08 漏洞描述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户协同办公平台ezoffice GeneralWeb存在xxe漏洞。 资产信息 hunter:app.name=”万户 Ezoffice OA” 漏洞复现 dnslog POC POST /def
继续阅读