漏洞预警 | 北京中科聚网一体化运营平台文件上传漏洞
漏洞预警 | 北京中科聚网一体化运营平台文件上传漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 北京中科聚网信息技术有限公司的一体化运营平台是一个综合性的信息系统,旨在为企业或机构提供全方位的运营支持和管理服务 0x03 漏洞详情 漏洞类型: 文件上传 影响: 接管服务器 简述: 北
继续阅读作者: cve-20
漏洞预警 | 用友NC任意文件上传漏洞
漏洞预警 | 用友NC任意文件上传漏洞 浅安 浅安安全 2024-08-24 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读「漏洞复现」金和OA C6 DBModules.aspx SQL注入漏洞
「漏洞复现」金和OA C6 DBModules.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-08-24 07:38 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读edu漏洞平台挖掘-7月总结
edu漏洞平台挖掘-7月总结 原创 湘南第一深情 湘安无事 2024-08-23 23:46 声明 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。记得点点关注哦!谢谢! 免费送edu邀请码。 上个月成果展示 7月的湘安
继续阅读小米在 Pwn2Own Toronto 2023 大赛前修补了 RCE 漏洞,并在大赛结束后删除了补丁
小米在 Pwn2Own Toronto 2023 大赛前修补了 RCE 漏洞,并在大赛结束后删除了补丁 原创 Pwn2Own 安全之眼SecEye 2024-08-23 21:37 在 Pwn2Own Toronto 2023 竞赛期间,列出了几个类别和设备供研究人员瞄准。至于移动设备,有 Apple iPhone 14、Google Pixel 7、三星 Galaxy S23 和小米 13 Pr
继续阅读漏洞预警|微信内置 chrome 浏览器 RCE
漏洞预警|微信内置 chrome 浏览器 RCE 威胁情报运营中心 矢安科技 2024-08-23 21:15
继续阅读再看云虚拟化安全.QEMU通用漏洞挖掘新思路
再看云虚拟化安全.QEMU通用漏洞挖掘新思路 GRCC IoVSecurity 2024-08-23 20:27 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 基于模糊测试的云原生软件供应链安全保障 基于云的车队安全监
继续阅读应用程序的安全漏洞会造成什么后果?
应用程序的安全漏洞会造成什么后果? 三沐 三沐数安 2024-08-23 20:24 Web 应用程序是一把双刃剑:它们是潜在客户的完美展示,但同时也是偷偷潜入和掠夺业务的巨大窗口。Web 应用程序中的安全漏洞可能会引发严重事件。 没有人是安全的。如果国王或政府首脑等名人的电话号码被公开,会发生什么? 骚扰。威胁。身份盗窃。账户盗窃。 可能造成的后果不胜枚举。不过,幸运的是,2021 年夏天,马德
继续阅读在野漏洞的应急响应流程
在野漏洞的应急响应流程 原创 裴伟伟 洞源实验室 2024-08-23 20:03 许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传
继续阅读SolarWinds 修复 Web Help Desk 中的硬编码凭据漏洞
SolarWinds 修复 Web Help Desk 中的硬编码凭据漏洞 Sergiu Gatlan 代码卫士 2024-08-23 18:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 为一个严重的 Web Help Desk 漏洞发布热修复方案。该漏洞可导致攻击者使用硬编码凭据登录到未修复系统中。 Web Help Desk (WHD) 是一款IT帮助桌面软
继续阅读思科修复由NSA报送的两个高危漏洞
思科修复由NSA报送的两个高危漏洞 Ionut Arghire 代码卫士 2024-08-23 18:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,思科修复了多款产品中的多个漏洞,其中一个是位于企业协作解决方案中的高危漏洞CVE-2024-20375。 CVE-2024-20375是一个高危漏洞(CVSS评分8.6),影响思科 Unified Communications M
继续阅读重庆银行漏洞扫描与基线核查系统项目招标
重庆银行漏洞扫描与基线核查系统项目招标 点击关注-> 智探AI应用 2024-08-23 18:12 招标条件 本重庆银行(新)漏洞扫描与基线核查系统项目已由项目审批/核准/备案机关批准,项目资金为自筹资金57万元;招标人为重庆银行股份有限公司。本项目已具备招标条件,现进行公开招标。 2.项目概况和招标范围 规模:重庆银行(新)漏洞扫描与基线核查系统项目,采购预算:57 万元。 范围:本招标
继续阅读【漏洞通告】WordPress LiteSpeed Cache权限提升漏洞(CVE-2024-28000)
【漏洞通告】WordPress LiteSpeed Cache权限提升漏洞(CVE-2024-28000) 启明星辰安全简讯 2024-08-23 18:07 一、漏洞概述 漏洞名称 WordPress LiteSpeed Cache权限提升漏洞 CVE ID CVE-2024-28000 漏洞类型 权限提升 发现时间 2024-08-22 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络
继续阅读【8/23特辑】今日热点漏洞,你排查了没?
【8/23特辑】今日热点漏洞,你排查了没? 安恒研究院 安恒信息CERT 2024-08-23 18:06 漏洞导览 · 赛蓝企业管理系统存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 东胜物流软件存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 汇智企业资源管理系统存在文件上传漏洞 漏洞概况 在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理
继续阅读DouPHP(CVE-2024-7917、代码分析xss)漏洞复现
DouPHP(CVE-2024-7917、代码分析xss)漏洞复现 原创 LULU 红队蓝军 2024-08-23 18:01 漏洞介绍 漏洞:CVE-2024-7917 介绍:DouPHP 1.7_Release_20220822版本中存在一个远程代码执行(RCE)漏洞。拥有管理员权限的攻击者可以通过该漏洞在服务器上执行任意命令。漏洞通过上传恶意ico文件、修改文件扩展名来执行PHP代码 该漏洞
继续阅读模糊测试平台SFUZZ V3.4惊喜升级 | 测试协议数突破200+,漏洞挖掘更全面
模糊测试平台SFUZZ V3.4惊喜升级 | 测试协议数突破200+,漏洞挖掘更全面 原创 小安君 开源网安 2024-08-23 17:52 近日,开源网安模糊测试工具SFUZZ迎来V3.4版本的更新, 加强了协议覆盖范围以及协议模糊测试监视器能力,可测试协议数量超过200+ ,并提升了测试管理精度,让SFUZZ持续高水准地帮助客户挖掘未知漏洞,更好地为车联网、工业互联网、通信等行业客户提升产品
继续阅读漏洞预警 点企来 客服系统 getwaitnum sql注入漏洞
漏洞预警 点企来 客服系统 getwaitnum sql注入漏洞 by 融云安全-sm 融云攻防实验室 2024-08-23 17:49 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使
继续阅读错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞
错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 安信安全 安信安全 2024-08-23 17:01 新闻速览 •《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求 •麻省理工首发AI风险管理数据库,全面覆盖777种风险 •英国企业网络威胁态势调查:每44秒就会面临一次新的网络攻击 •错误展
继续阅读关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告
关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告 网络靖安司CSIZ 2024-08-23 17:00 安全公告编号: CNTA-2024-0011 2024年8月9日,国家信息安全漏洞共享平台(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞( CNVD-2024-34918 ,对应CVE-2024-38077)。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务
继续阅读CVE-2024-38856:Apache OFBiz远程代码执行漏洞
CVE-2024-38856:Apache OFBiz远程代码执行漏洞 宁云志科技 2024-08-23 16:08 关注我们❤️,添加星标🌟,一起学安全!作者:hexixi@Timeline Sec 本文字数:3813阅读时长:2~4mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache OFBiz 是一个开源 ERP 系统,可帮助企业自动化和集成会计、人力
继续阅读钓客服、打漏洞……钓鱼攻击或进入最后的疯狂
钓客服、打漏洞……钓鱼攻击或进入最后的疯狂 原创 ThreatBook 微步在线 2024-08-23 14:46 随着外围打点变得越来越困难,社工钓鱼的比例变的越来越高。 微步对近一个月的大量钓鱼攻击和数千种木马样本做了数据分析,呈现出以下特点: 社工欺骗篇 钓鱼主题:通知、简历依旧领先,但针对性有所增强 通知、简历、招聘、薪酬等相关字眼,历来都是钓鱼攻击最常用的鱼饵。与此同时,为达到更强的欺
继续阅读山石网科:关于网传WAF漏洞说明
山石网科:关于网传WAF漏洞说明 原创 优质可靠的 山石网科新视界 2024-08-22 23:54 山石网科安全公告 尊敬的用户: 您好! 近日,山石网科产品安全事件响应团队(PSIRT)接到了关于山石网科WAF产品潜在安全漏洞的报告。经过我司技术团队深入分析,确认此漏洞影响的版本范围为5.5R6-2.6.7至5.5R6-2.8.13。 该漏洞已在2022年8月发布的WAF 5.5R6-2.8.
继续阅读【漏洞预警】Alibaba Nacos Jraft未授权任意文件写入漏洞
【漏洞预警】Alibaba Nacos Jraft未授权任意文件写入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到Alibaba Nacos发布新版本,其中修复了一个Jraft端口(默认值7848)任意文件读写的漏洞,未经授权的攻击者可以通过此漏洞进行Nacos Server所在节点的文件读写。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本安全版
继续阅读【漏洞预警】山石网科应用防火墙WAF未授权命令注入漏洞
【漏洞预警】山石网科应用防火墙WAF未授权命令注入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到山石网科发布安全公告,修复了山石网科应用防火墙(WAF)中存在的未授权命令注入漏洞,恶意攻击者可通过构造恶意请求,拼接命令执行任意代码,控制服务器。修复方案:官方已针对此漏洞发布安全公告和修复版本,受影响用户可通过山石网科官方渠道获取相关产品的更新信息。受影响版本
继续阅读【漏洞预警】泛微网络E-cology BlogService 未授权SQL注入漏洞
【漏洞预警】泛微网络E-cology BlogService 未授权SQL注入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到泛微网络E-cology存在一个SQL注入漏洞,未经过身份验证的攻击者可以通过该漏洞获取数据库敏感信息。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:官方补丁下载链接: https://www.weaver.com.cn/
继续阅读Google 修复了在野外积极利用的高严重性 Chrome 漏洞
Google 修复了在野外积极利用的高严重性 Chrome 漏洞 信息安全大事件 2024-08-22 20:34 谷歌已经推出了安全修复程序,以解决其Chrome浏览器中一个严重性高的安全漏洞,它表示该漏洞已在野外受到积极利用。 该漏洞被跟踪为 CVE-2024-7971,被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。 根据 NIST 国家漏洞数据库 (
继续阅读攻防过半:最能打的竟然不是0day?
攻防过半:最能打的竟然不是0day? 原创 ThreatBook 微步在线 2024-08-22 20:04 攻防大战过半,赛博世界虽未火力全开,但依旧波诡云谲,充满刀光剑影。话不多 说,来看看过去一个月,有哪些新的攻击手段和趋势: 攻击木马 CS超90%,Linux新型特马增加 微步云沙箱S首月捕获CobaltStrike样本 6000+,红队工具样本1500+。 攻击木马仍以CobaltStr
继续阅读「漏洞复现」同享人力资源管理系统-TXEHR V15 SFZService.asmx SQL注入漏洞
「漏洞复现」同享人力资源管理系统-TXEHR V15 SFZService.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-08-22 19:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使
继续阅读某系统任意命令执行漏洞
某系统任意命令执行漏洞 原创 儒道易行 儒道易行 2024-08-22 19:17 我举手向苍穹,并非一定要摘星取月,我只是需要这个向上的、永不臣服的姿态。 漏洞描述 某系统中的网络测试模块中存在命令执行漏洞,可通过命令拼接执行任意命令 漏洞实战 访问漏洞url: 登录后台(存在访客用户默认账号密码 guest/guest): 使用 ; 命令拼接执行任意命令: 漏洞利用poc: 漏洞证明 文笔生疏
继续阅读Litespeed曝高速缓存漏洞,威胁数百万WordPress网站
Litespeed曝高速缓存漏洞,威胁数百万WordPress网站 小薯条 FreeBuf 2024-08-22 19:02 近日,有研究人员在插件的用户模拟功能中发现了未经身份验证的权限升级漏洞 (CVE-2024-28000),该漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列检查引起的。这个漏洞可能会让攻击者在创建恶意管理员账户后接管数百万个网站。 LiteSp
继续阅读