热门 WordPress 插件 Ultimate Member 中存在严重漏洞
热门 WordPress 插件 Ultimate Member 中存在严重漏洞 Ionut Arghire 代码卫士 2024-02-29 19:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全厂商 Defiant 指出,WordPress 插件 Ultimate Member 中存在一个严重的SQL注入漏洞,其下载次数已达到20万次。 该漏洞的编号是CVE-2024-1071(C
继续阅读作者: cve-20
【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险
【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险 安全圈 2024-02-29 19:00 关键词 安全漏洞 WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞,未经身份验证的用户可能会利用该漏洞升级其权限。 该漏洞被跟踪为 CVE-2023-40000,已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 “这个插件存在未经身份
继续阅读TangGo|逻辑漏洞测试系列-拒绝服务漏洞
TangGo|逻辑漏洞测试系列-拒绝服务漏洞 糖果 无糖反网络犯罪研究中心 2024-02-29 18:29 
继续阅读漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞……
漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞…… 梆梆安全 2024-02-29 18:15 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: Internet、GitLab、Spring Framework、Node.js, 建议相关 用户及时采取措施做好资产自查与预防工作。 Windows Internet
继续阅读AI模型可被劫持,Hugging Face转换服务存在高风险漏洞
AI模型可被劫持,Hugging Face转换服务存在高风险漏洞 看雪学苑 看雪学苑 2024-02-29 18:08 网络安全公司HiddenLayer上周三在一份报告中表示,他们发现Hugging Face Safetensors转换工具存在着漏洞,可能被利用来劫持AI模型并发动供应链攻击。 Hugging Face是一家从事人工智能(AI)、自然语言处理(NLP)和机器学习(ML)的科技公司
继续阅读预售满10人开班!系统0day安全-二进制漏洞攻防(第3期)
预售满10人开班!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-02-29 18:08 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享
继续阅读创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测
创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-02-29 17:21 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞
【漏洞通告】Microsoft Outlook 远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 该漏洞不需要用户交互。攻击者可以以预览窗格作为攻击媒介制作绕过受保护视图协议的恶意链接,从而绕过 Outlook 的安全功能。成功利用此漏洞的攻击者可获取本地 NTLM 凭据信息并在目标计算机上远程执行任意代码。02 漏洞处置综合处置
继续阅读【漏洞通告】Spring Security 访问控制错误漏洞
【漏洞通告】Spring Security 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。 Spring Security版本 6.1.x – 6.1.7之前、6.2.x – 6.2.2 之前,当应用程序直接使
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Bricks Builder主题是一个创新的、社区驱动的、可视化的WordPress网站构建器Bricks Builder(高级版)主题目前拥有约25,000个有效安装。 WordPress Brick Buil
继续阅读CVE-2024-1918
CVE-2024-1918 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 北京百绰智能S42管理平台userattestation.php无限制上传 漏洞 02 — 漏洞影响 北京百招智
继续阅读CVE-2024-21732
CVE-2024-21732 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 FlyCms 安全漏洞(CVE-2024-21732) 02 — 漏洞影响 FlyCms v1.0版本 开源项
继续阅读蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-28 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌OA wechatLoginHelper简介
继续阅读【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371
【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:ApacheCamel是开源的系统间数据交互集成框架。EventFactory是ApacheCamel中的一个组件,用于创建和发布事件,由于未对 EventFactory 和 ExchangeCreatedE
继续阅读【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742
【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:Apache James 提供 在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器,当使用MIME4J的DOM来构建消息时,由于不恰当的输入验证,导致了HTTP头注入漏洞,攻击者能够在MIME消息中插入意外的头信息,以此发起
继续阅读【漏洞预警】LangChain langchain-experimental 任意代码执行
【漏洞预警】LangChain langchain-experimental 任意代码执行 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、subclasses、builtins、globals、getattribu
继续阅读赏金猎人|从前端JS逆向到发现后端越权漏洞的渗透测试之旅
赏金猎人|从前端JS逆向到发现后端越权漏洞的渗透测试之旅 嗨嗨安全 2024-02-28 22:30 前言 本篇文章首发先知社区,作者为本公众号。 前端分析 首先搜索请求接口,未发现关键加密点 根据请求参数进行搜索 在js文件中找到aes加密key、iv eval(function(p, a, c, k, e, r) { e = function(c) { return c
继续阅读【Web渗透】若依框架漏洞合集
【Web渗透】若依框架漏洞合集 Whoami 晨曦安全团队 2024-02-28 22:29 首先上若依官网下载源码,官网地址: https://gitee.com/y_project/RuoYi 我选择下载使用的ruoyi V4.5 1、安装MySQL数据库。 在本地安装MySQL数据库,我使用的是MySQL8.0.23版本,建议使用新版MySQL,使用MySQL5.几的版本导入若依sql文件会
继续阅读【tips】基于tar通配符漏洞的提权方法
【tips】基于tar通配符漏洞的提权方法 原创 BeretSec 贝雷帽SEC 2024-02-28 22:07 Tips +1 提权原理 tar有通配符*的漏洞,tar用通配符来压缩文件并读取文件名,若是目录下存在有参数则将执行。 操作过程 1、使用root用户创建一个任务计划, root用户每隔1分钟执行一次tar打包命令备份/opt/secret目录 SHELL=/bin/sh PATH=
继续阅读第79篇:记一次Oracle注入漏洞提权的艰难过程
第79篇:记一次Oracle注入漏洞提权的艰难过程 迪哥讲事 2024-02-28 20:31 Part1 前言 大家好,我是ABC_123 。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经过判断是DBA权限。接下来就是想办法通过这个注入点获取操作系统的权限,但是遇到了很多问题,于是搭建环境研究了一天,最后终于获取
继续阅读[未公开]亿赛通某接口存在SQL注入漏洞
[未公开]亿赛通某接口存在SQL注入漏洞 qT 晴天安全 2024-02-28 19:58 0x01 漏洞简述 — 亿赛通电子文档管理系统是一款专业的文档管理工具,集成了多种功能:包括文档存储、检索、共享、权限控制等,帮助用户高效管理海量文档。系统支持多种文件格式,如文本、图片、视频等,可通过关键字快速检索目标文档,实现信息快速定位。同时,系统提供灵活的权限设置,确保文档安全性。用户可以进行在线预
继续阅读Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现)
Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现) 原创 网络保安29 红蓝攻防研究实验室 2024-02-28 19:40 前言 2024 年 2 月微软发布了一个 Internet 快捷方式文件安全功能绕过漏洞( CVE-2024-21412 ),互联网上未经身份验证的攻击者可以向目标用户发送旨在绕过显示的安全检查的特制文件,诱导用户点击实现恶意代码执
继续阅读「深蓝洞察」2023 年度最曲折的漏洞利用
「深蓝洞察」2023 年度最曲折的漏洞利用 原创 深蓝洞察 DARKNAVY 2024-02-28 19:02 23 年 7 月,Qualys Security Advisory 的安全研究员曝光了一个在 OpenSSH 中潜伏了 13 年的漏洞。 事实上,尽管 Project Zero 的研究员 Jann Horn 早已在 2016 年指出了这个问题,并且 OpenSSH 的开发者也及时进行了限
继续阅读TangGo|逻辑漏洞测试系列-支付逻辑漏洞
TangGo|逻辑漏洞测试系列-支付逻辑漏洞 糖果 无糖反网络犯罪研究中心 2024-02-28 18:29 
继续阅读WordPress 插件 LiteSpeed 漏洞影响500万个站点
WordPress 插件 LiteSpeed 漏洞影响500万个站点 THN 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。 Patchstack 公司的研
继续阅读合勤科技修复防火墙产品中的远程代码执行漏洞
合勤科技修复防火墙产品中的远程代码执行漏洞 Ryan Naraine 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤科技推出防火墙和访问点产品的多个漏洞补丁,并提醒称未修复系统易遭远程代码执行攻击。 合勤科技提到,至少有四个漏洞可导致企业易受代码执行、命令注入和拒绝服务利用攻击。 这些漏洞简述如下: CVE-2023-6397:某些防火墙版本
继续阅读安全情报,aiohttp存在目录遍历漏洞(CVE-2024-23334)!!!
安全情报,aiohttp存在目录遍历漏洞(CVE-2024-23334)!!! 原创 Ax 极星信安 2024-02-28 18:01 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载。如需转载,请联系作者!!!! 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!!!!! 漏洞介绍 aiohttp是
继续阅读24年1月必修安全漏洞清单|腾讯安全威胁情报中心
24年1月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-02-28 16:54 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-02-28 11:49 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2024年1月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CVE-2024-1709
CVE-2024-1709 原创 fgz AI与网安 2024-02-28 07:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 ConnectWise ScreenConnect使用备用路径或通道绕过身份验证 漏洞 02 — 漏洞影响 Co
继续阅读