谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day Sergiu Gatlan 代码卫士 2024-03-28 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。 第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembl
继续阅读作者: cve-20
【漏洞复现】通天星CMS安全监控云平台任意文件读取漏洞
【漏洞复现】通天星CMS安全监控云平台任意文件读取漏洞 Mr.Song 蚁剑安全实验室 2024-03-28 16:56 大家可以把蚁剑安全实验室“设为星标 ”,这样就可以及时看到我们最新发布的“漏洞预警”及“漏洞复现”的安全内容啦! 免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负
继续阅读创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测
创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-03-28 16:48 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿 网络盾牌 网络盾牌 2024-03-28 16:21 点击上方蓝色文字关注我们 今日全球网安资讯摘要**** 特别关注 新型僵尸网络感染全球88个国家/地区,超6千台华硕路由器遭攻击 主流AI算力框架漏洞威胁全球数千大模型 印度国防部等机构被黑客打穿,泄露 8.8GB 数据 特别关注
继续阅读要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型
要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型 内生安全联盟 2024-03-28 15:37 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力遭到“劫持”
继续阅读主流AI算力框架漏洞威胁全球数千大模型
主流AI算力框架漏洞威胁全球数千大模型 网络安全应急技术国家工程中心 2024-03-28 15:14 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力
继续阅读【漏洞复现】CVE-2023-51385:OpenSSH命令注入
【漏洞复现】CVE-2023-51385:OpenSSH命令注入 原创 fatmo 赛博安全狗 2024-03-28 14:52 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 简介 OpenSSH 是 SSH 协议的免费开源实现。 S SH协议族可以用来进行远程控制, 或在计算机之间传送文件
继续阅读3月漏洞快报 | GeoServer 文件上传漏洞、Atlassian Confluence 路径遍历漏洞……
3月漏洞快报 | GeoServer 文件上传漏洞、Atlassian Confluence 路径遍历漏洞…… 原创 梆梆安全 梆梆安全 2024-03-28 14:23 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: GeoServer、Atlassian Confluence、Fortinet FortiClientEMS、JetBrains Team
继续阅读黑客利用 Aiohttp 漏洞寻找脆弱的网络
黑客利用 Aiohttp 漏洞寻找脆弱的网络 塞讯安全验证 2024-03-28 13:30 勒 索软件攻击团伙 ShadowSyndicate 近期被观察到正在扫描存在 CVE-2024-23334漏洞的服务器,这是aiohttp Python库中的一个目录遍历漏洞。 Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库,可以在没有传统的基于线程的网络的情
继续阅读【漏洞通告】Adobe ColdFusion 访问控制错误漏洞
【漏洞通告】Adobe ColdFusion 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 ColdFusion版本2023.6、2021.12及更早版本受到不当访问控制漏洞的影响,该漏洞可能导致任意文件系统读取。攻击者可以利用此漏洞绕过安全措施,获得对敏感文件的未经授权的访问权限,并执行任意文件系统写入。利用此问题不需要用
继续阅读【漏洞通告】用友NC Cloud runScript SQL注入漏洞
【漏洞通告】用友NC Cloud runScript SQL注入漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友NC Cloud runScript 接口存在SQL注入漏洞,攻击者利用此漏洞可以获取数据库敏感数据。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称飞企互联/cooperate/videotexMonitor.jsp SQ
继续阅读【漏洞通告】用友OA IPortalSpecService目录穿越漏洞
【漏洞通告】用友OA IPortalSpecService目录穿越漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友OA存在目录穿越漏洞,攻击者利用该漏洞可执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称用友OA IPortalSpecService目录穿越漏洞漏洞编号CVE编号无漏洞评估披露时间2024-03-14漏洞类
继续阅读【漏洞通告】章管家-印章智慧管理平台文件上传漏洞
【漏洞通告】章管家-印章智慧管理平台文件上传漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 章管家-印章智慧管理平台存在文件上传漏洞,这可能导致恶意文件被上传到服务器,从而对系统造成损害,或者被用于进行其他攻击,比如利用服务器作为存储或传播恶意软件的平台。02 漏洞处置综合处置优先级:中漏洞信息漏洞名称章管家-印章智慧管理平台文件上传漏洞漏
继续阅读CVE-2024-2398:HTTP/2 推送标头内存泄漏
CVE-2024-2398:HTTP/2 推送标头内存泄漏 Ots安全 2024-03-28 12:09 概括: 对于每个传入PUSH_PROMISE标头,都会分配一个新name:value字符串,并将指向该字符串的指针存储在stream->push_headers数组中。 h = aprintf("%s:%s", name, value); if(h)
继续阅读剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行
剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行 Ots安全 2024-03-28 12:09 1. Cisco Talos 去年披露了 JustSystems 的 Ichitaro 文字处理器中的多个漏洞。这些漏洞非常复杂,是通过广泛的逆向工程发现的。 CVE-2023-35126及其同类( CVE-2023-34366、 CVE-2023-38127和CVE-2023-3812
继续阅读小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出
小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出 Ots安全 2024-03-28 12:09 我们的研究重点是MI AIoT Router AC2350在 LAN 和 WAN 接口上获得远程代码执行。我们在路由器中发现了多个漏洞,允许攻击者获得路由器的 root 访问权限。我们向小米发送了 8 份关于他们的HackerO
继续阅读10 大 Web 应用程序漏洞
10 大 Web 应用程序漏洞 点击关注👉 马哥网络安全 2024-03-28 12:01 为了帮助公司应对 Web 应用程序漏洞并保护自己的 Web 应用程序,开放 Web 应用程序安全项目 (OWASP) 在线社区创建了 OWASP 前十排行榜。当我们跟踪他们的排名时,我们注意到我们对主要漏洞的排名方式有所不同。出于好奇,我们决定找出差异到底有多大。这就是为什么我们建立了自己的排名,该排名反映
继续阅读支付类漏洞挖掘技巧总结
支付类漏洞挖掘技巧总结 中铁13层打工人 白帽子左一 2024-03-28 12:01 扫码领资料 获网安教程 支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。 文章来源: https://forum.butian.net/share/2778 文章作者:中铁13层打工人 如有侵权请您联系我们,我们会进
继续阅读漏洞挖掘 | SRC中信息收集姿势分享
漏洞挖掘 | SRC中信息收集姿势分享 原创 zkaq-杳若 掌控安全EDU 2024-03-28 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 杳若 投稿 前言 前前后后挖了四个月的EDUSRC,顺利从路人甲升到了网络安全专家,从提交的内容来看大部分还是以中低危为主,主打的就是弱口令和未授权。 在这过程中还是比较浮躁的,因此接下来的时间还是要好好沉淀一下自身的技术,学习
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767
【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-28 11:59 漏洞名称: Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767) 组件名称: Adobe ColdFusion 影响范围: Adobe ColdFusion 2023 ≤ Update 6 Adobe C
继续阅读谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理
谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理 鹏鹏同学 黑猫安全 2024-03-28 11:47 本周,谷歌解决了Chrome浏览器中的几个漏洞,包括两个零日漏洞,分别被跟踪为CVE-2024-2886和CVE-2024-2887,在Pwn2Own Vancouver 2024黑客竞赛期间展示。 高危漏洞CVE-2024-2886是一个位于WebCodecs中的使用后
继续阅读2023年零日漏洞在野利用激增,商业间谍软件是主要使用者
2023年零日漏洞在野利用激增,商业间谍软件是主要使用者 安全内参 2024-03-28 11:21 关注我们 带你读懂网络安全 根据谷歌威胁分析小组(TAG)和谷歌子公司Mandiant的最新报告,2023年被用于实施攻击的零日漏洞数量显著增加,其中许多与间谍软件供应商及其客户有关。 2023年共计有97个零日漏洞被用于攻击,比前一年的62个漏洞激增了50%以上。尽管数量有所上升,但仍低于202
继续阅读【漏洞复现】Ruby On Rails
【漏洞复现】Ruby On Rails 菜鸟小新 2024-03-28 07:59 ####################### 免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。 ######################## Ruby On Rails在开发环境下使用Sprockets作为静态文
继续阅读CVE-2024-27954
CVE-2024-27954 原创 fgz AI与网安 2024-03-28 07:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 WordPress Automatic 插件任意文件下载和SSRF漏洞 02 — 漏洞影响 WordPress
继续阅读Bluetooth 0-click code execution CVE-2023-45866
Bluetooth 0-click code execution CVE-2023-45866 洛米唯熊 洛米唯熊 2024-03-28 00:22 后台回复关键词获取脚本 关键词: CVE-2023-45866 关键词: CVE-2023-45866 关键词: CVE-2023-45866 洛米唯熊
继续阅读商混ERP系统sys接口存在SQL注入漏洞|漏洞预警
商混ERP系统sys接口存在SQL注入漏洞|漏洞预警 原创 漏洞挖掘 渗透安全HackTwo 2024-03-28 00:01 0x01 产品简介 商混ERP系统是一种针对混凝土行业开发的综合性企业资源规划(ERP)系统。它集成了生产、销售、采购、财务等各个方面的功能,为混凝土生产企业提供了一个全面、高效的数字化管理平台。 这里我推荐利用 ZoomEye ****搜索引擎直接输入关键字即可,影响资
继续阅读【HackerOne 精品】6000 美金的 XSS 漏洞
【HackerOne 精品】6000 美金的 XSS 漏洞 迪哥讲事 2024-03-27 20:49 【HackerOne 精品】6000 美金的 XSS 漏洞 本系列专注 hackerone 平台披露的高质量报告 本篇介绍 yelp.com 价值 6k 美金的XSS漏洞 漏洞标题: yelp.com XSS ATO (via login keylogger, link Google acco
继续阅读Bugsy:一款功能强大的代码安全漏洞自动化修复工具
Bugsy:一款功能强大的代码安全漏洞自动化修复工具 Alpha_h4ck FreeBuf 2024-03-27 18:58 关于Bugsy Bugsy是一款功能强大的代码安全漏洞自动化修复工具,该工具本质上是一个命令行接口工具,可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。 Bugsy是 Mobb (一款自动化安全漏洞修复工具,能够结合多种工具生成代码修复程序供开发人员审查和提交代码)
继续阅读可能吗?CISA竟想“彻底终结”SQL漏洞
可能吗?CISA竟想“彻底终结”SQL漏洞 小薯条 FreeBuf 2024-03-27 18:58 左右滑动查看更多 3月25日(本周一),网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 “安全设计 “警报。他们将 SQL 注入漏洞(SQLi)归入”不可饶恕的 “一类漏洞。 警报指出:尽管在过去二十年中,人们普遍了解并记录了 SQ
继续阅读【漏洞预警】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767
【漏洞预警】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767 cexlife 飓风网络安全 2024-03-27 18:39 漏洞描述: Adobe ColdFusion,是一个动态Web服务器,Coldfusion最早是由Allaire公司开发的一种应用服务器平台,其运行的CFML(ColdFusionMarkup Language)针对Web应用的一种脚本语言,文件
继续阅读