【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-26 17:13 漏洞名称: WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 组件名称: WordPress Bricks Builder 影响范围: WordPress Bricks
继续阅读雷神众测漏洞周报2024.2.19-2024.2.25 原创 雷神众测 雷神众测 2024-02-26 15:39 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限 网络安全应急技术国家工程中心 2024-02-26 15:04 非特权攻击者可以利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞,在默认配置下获得多个主要 Linux 发行版的 root 访问权限。 该安全漏洞被追踪为CVE-2023-6246,是在 glibc 的 __vsyslog_i
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网安百色 2024-02-25 19:39 新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读[经验分享]-SRC漏洞挖掘之道 点击关注👉 马哥网络安全 2024-02-25 18:00 一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,挖 SRC 感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,
继续阅读开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 皓月当空w 2024-02-25 14:19 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称: 浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 漏洞出现时间:2024年2月25日 影响等级:高危 漏洞说明: 浙江大华技术股份有限公司城市安防监控DSS系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
继续阅读万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-25 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户协同办公平台ezoffice简
继续阅读[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免) 原创 马赛克安全实验室 马赛克安全实验室 2024-02-25 13:29 0x00免责声明 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读用友U8 Cloud smartweb2.RPC.d xxe漏洞 原创 fgz AI与网安 2024-02-25 07:27 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 先介绍下什么是XXE漏洞? XXE漏洞全称XML External Entity Inject
继续阅读实战中遇到的一些莫名其妙的漏洞 船山信安 2024-02-25 00:00 前言 真实案例,文中所写漏洞现已经被修复,厚码分享也是安全起见,请各位大佬见谅哈! 案例一:奇怪的找回密码方式 某次漏洞挖掘的过程中,遇到某单位的登录框,按以往的流程测试了一下发现并没有挖掘出漏洞,在我悻悻地点开找回密码的功能并填入了基础信息之后,我发现他的业务流程与常见的安全的找回密码的方式并没有什么区别,都是需要接收到
继续阅读dedecms之汗流浃背的审计1day 江南韵 湘安无事 2024-02-24 23:09 声明: 该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言: 又是我,深情哥大弟子江南韵( 压星河),最近跟着学了一手更新包审计
继续阅读Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-24 23:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Edusoho网络课堂cms简介 微信公众号搜索:南风漏洞复现
继续阅读某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读「深蓝洞察」2023 年度最死而不僵的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-24 20:18 回顾 Android 的发展历程,各种反序列化相关的漏洞曾多次被公开披露和修复。 其中最具代表性的当属 Bundle Mismatch 相关的漏洞,它即是深蓝洞察去年发布的 2022 年度最“不可赦”的漏洞利用 所揭示的,堪称史上最大规模的在野攻击所利用的核心漏洞。 Google 引入了
继续阅读【安全圈】Joomla 发现5个漏洞可执行任意代码 安全圈 2024-02-24 19:00 关键词 安全漏洞 在Joomla内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 1. CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA
继续阅读在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓 管窥蠡测 安在 2024-02-24 18:05 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、华莱士系统漏洞致储值套餐券免费领取 据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值
继续阅读“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发) 原创 庆尘qc Daylight庆尘 2024-02-24 14:51 引言 由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅) 一、漏洞分析 这里要讲的虚拟号码场景,应该不少师傅也都遇到过,一般流程如下 某些功能需要
继续阅读漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc Y1_K1NG Yi安全 2024-02-24 14:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处
继续阅读内部漏洞库,福利开局 黑熊安全 2024-02-24 12:39 免责声明 不能用于传播、利用本公众号奉天安全团队提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 奉天安全团队及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即 删除并致歉,谢谢! 内部漏洞平台介绍 团队内部 漏洞平台 分享一些通杀day、1day、未公开的POC。当然我们漏洞
继续阅读某恩特文件上传漏洞分析 AGONI 白帽子左一 2024-02-24 12:04 扫码领资料 获网安教程 0X01 前言 最近这段时间某恩特,公众号到处在发,该系统的0day漏洞,可谓是漫天飞了,且利用方式也及其简单,本文就是对该系统目前所爆出来的漏洞进行一个漏洞分析,并在最后给出一个该系统未被公布的0day 基本上都是这两天的,非常的集中 0X02 漏洞分析 我们来看一下最开始原始的POC 定位
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413 深益研究实验室 深信服千里目安全技术中心 2024-02-24 11:21 漏洞名称: Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413) 组件名称: Microsoft Outlook 影响范围: Microsoft Office 2016 (64-bit editio
继续阅读研究人员详细介绍了苹果最近的零点击快捷方式漏洞 THN 知机安全 2024-02-24 10:52 Details have emerged about a now-patched high-severity security flaw in Apple’s Shortcuts app that could permit a shortcut to access sensitive i
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔” 小王斯基 FreeBuf 2024-02-24 09:30 左右滑动查看更多 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_
继续阅读ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播 军哥网络安全读报 2024-02-24 09:00 导读 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁
继续阅读Chrome 122、Firefox 123 修补高严重性漏洞 原创 铸盾安全 河南等级保护测评 2024-02-24 00:01 谷歌和 Mozilla 本周发布了 Chrome 和 Firefox 软件更新,以解决这两种浏览器中的多个漏洞,包括高严重性内存安全漏洞。 周二,Chrome 122 在稳定通道中发布,修补了 12 个安全缺陷,其中包括外部研究人员报告的 8 个缺陷。 其中两个是高严
继续阅读人工智能开发供应链披露的八个漏洞 原创 何威风 祺印说信安 2024-02-24 00:01 人工智能网络安全初创公司Protect AI披露了用于开发内部人工智能和机器学习模型的开源供应链中发现的八个漏洞的详细信息。全部都有 CVE 编号,其中 1 个具有严重严重性,7 个具有高严重性。 这些漏洞通过 Protect AI 的二月份漏洞 报告 进行披露。他们是: – CVE-2023
继续阅读【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-24 00:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet快捷方式文件安全特性绕过漏洞 漏洞编号 QVD-2024-6259,CVE-2024-21412 公开时间 2024-02-14 影响
继续阅读