FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞;诺基亚被黑客攻击泄露大量数据 Zicheng FreeBuf 2024-11-09 14:53 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 重大突破,谷歌AI大模型首次找到0Day漏洞 谷歌公司日前表示,旗下一款
继续阅读近期暗网0day售卖情报与预警 独眼情报 2024-11-09 14:23 CloudPane疑似存在0day预授权RCE 查看poc需要资金证明,卖家接受担保交易。 卡西欧发布公告:疑似存在信息泄露事件 香港专业投资者和私人股东的数据疑似存在泄露 泄露日期: 2024年10月 泄露数据字段: Fullname + DOB + Email + Mobile + ID + Phone # + Fu
继续阅读黑客称他们利用反作弊漏洞封禁了“数千名”《使命召唤》玩家 独眼情报 2024-11-09 14:23 十月份,视频游戏巨头动视宣布已经修复了反作弊系统的一个漏洞,该漏洞影响了“少数合法玩家账户”,这些账户因此遭到封禁。 事实上,据发现并利用该漏洞的黑客称,他们能够封禁“成千上万”的《使命召唤》玩家,而他们基本上把这些玩家定性为作弊者。这位自称 Vizor 的黑客向作者 透露了这一漏洞,并讲述了他们
继续阅读德国起草法律保护 IT 白帽黑客:发现并上报软件漏洞不用承担刑事责任 黑白之道 2024-11-09 14:22 11 月 7 日消息,德国联邦司法部 11 月 4 日发布了一项计算机刑法草案,旨在明确 IT 安全研究人员“白帽黑客”的某些行为不会受到计算机刑法的惩罚。“ 任何想要检测并弥补 IT 安全漏洞的人都不应该面临刑事责任的风险。” 德国联邦司法部长 Dr. Marco Buschmann
继续阅读[含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 原创 漏洞预警机器人 安全光圈 2024-11-09 14:16 [含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者
继续阅读记一次实战小程序漏洞测试到严重漏洞 点击关注→_→ 黑客白帽子 2024-11-09 13:35 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 记录一次从小程序静态分析+动态调试获取到严重漏洞的过程 前言 本文记录了最近的一次src漏洞挖掘,并成功
继续阅读中间件安全|WebLogic漏洞汇总 原创 Cyb3rES3 Cyb3rES3c 2024-11-09 13:02 0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。 0x1
继续阅读(0day)API接口调用多用户管理系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-11-09 12:24 点击上方 蓝字关注我们 并设为 星标 0x00 前言 █ 纸上得来终觉浅,绝知此事要躬行 █ 2024全新开发API接口调用管理系统网站源码 附教程 用layui框架写的 个人感觉很简洁 方便使用和二次开发 智能调用管理:该系统提供了智能化的API接口调用管理功能,用户可以
继续阅读黑客可利用系统漏洞访问马自达车辆控制系统 李白你好 2024-11-09 12:03 免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1► 前言 黑客可以利用马自达信息娱乐系统中的严重漏洞,其中包括一个允许通过 USB 执行代
继续阅读利用现代二进制中的盲格式字符串漏洞:来自 2024 年 Pwn2Own 爱尔兰的案例研究 Baptiste MOINE securitainment 2024-11-09 11:52 Exploiting a Blind Format String Vulnerability in Modern Binaries A Case Study from Pwn2Own Ireland 2024 在 2
继续阅读一款简单好用的漏洞管理工具-miscan mifine666 鹏组安全 2024-11-09 11:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 漏洞管理工具 漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮助安全人员更方便更高效的编写漏洞规则,以方便漏洞利用和漏洞验证。 关于工具的特殊规则 工具其实越简单越好,但为了方便使用,还是有以下几点规则需要了
继续阅读一款Burpsuite自动化检测越权 未授权漏洞插件(更新至2024.8)|漏洞探测 LemonSec 2024-11-09 09:13 0x01 工具介绍 瞎越 (xia_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友
继续阅读简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell LemonSec 2024-11-09 09:13 1► 工具介绍 简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell
继续阅读「漏洞复现」用友U8 Cloud service/approveservlet SQL注入漏洞 冷漠安全 冷漠安全 2024-11-09 09:04 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击 会杀毒的单反狗 军哥网络安全读报 2024-11-09 09:00 导读 趋势科技零日计划 (ZDI) 警告称,多款马自达车型的信息娱乐系统存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释称,这些问题存在的原因是,马自达 Connect 连接主单元 (CMU) 系统没有正确清理用户提供的输入,这可能允许实际存在的
继续阅读马自达信息娱乐系统存在零日漏洞,汽车面临接管攻击 原创 很近也很远 网络研究观 2024-11-08 23:59 趋势科技零日计划 (ZDI) 的研究人员发现了马自达车载信息娱乐系统 Mazda Connect 中的多个漏洞。 受影响的连接主单元 (CMU) 安装在各种马自达车型上,包括马自达 3(2014 年至 2021 年款),被发现容易受到 SQL 注入、命令注入和代码执行漏洞的攻击,这可能
继续阅读一则SSRF漏洞的故事 迪哥讲事 2024-11-08 23:54 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&am
继续阅读漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞 小白菜安全 2024-11-08 23:37 漏洞描述 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。其系统低版本listUploadIntelligent.htm存在sql注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,请及时联系厂商修复。 资产信息 fofa:ap
继续阅读WordPress Time Clock插件存在远程代码执行漏洞CVE-2024-9593 附POC 2024-11-8更新 南风漏洞复现文库 2024-11-08 20:36 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. WordP
继续阅读【安全圈】马自达车载信息娱乐系统 (IVI) 中的多个漏洞 安全圈 2024-11-08 19:00 关键词 安全漏洞 在多款车型(如 2014-2021 年款马自达 3)上安装的马自达 Connectivity Master Unit (CMU) 系统中发现了多个漏洞。与许多情况一样,这些漏洞是由于在处理攻击者提供的输入时未进行充分的消毒而造成的。实际存在的攻击者可以通过将特制的 USB 设备(
继续阅读聊热点|工信部印发《工业和信息化领域数据安全事件应急预案 (试行)》、重大突破,谷歌AI大模型首次找到0Day漏洞…… 中国电信安全 2024-11-08 18:52 01 行业动态 工信部印发《工业和信息化领域数据安全事件应急预案 (试行)》 为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策关于应急处置的相关要求,加快推动工业和信息化领域数据
继续阅读高通芯片0Day漏洞事件分析及安全建议 栗栗 安全419 2024-11-08 18:28 10月,高通公司(Qualcomm)发布安全警告,称其多达64款芯片组中存在严重漏洞,由于首次被发现时已存在被利用的可能,因此归类于“零日漏洞”,被标识为CVE-2024-43047,CVSS评分为7.8。安全419聚焦汽车安全领域,与多家网安厂商和车企对话,透过高通零日漏洞事件,了解业内对车联网安全的见解
继续阅读HPE:Aruba Networking 访问点中存在严重的RCE漏洞 Bill Toulas 代码卫士 2024-11-08 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 HPE (慧与) 公司发布了 Instant AOS-8和AOS-10 软件更新,修复了位于 Aruba Networking Access Point 中的两个严重漏洞CVE-2024-42509和CVE
继续阅读【Pikachu】RCE远程命令执行实战 原创 儒道易行 儒道易行 2024-11-08 18:00 在这片海洋中,若无法向上攀游,就只有往下沉沦,是要前进或是溺死,就得看自己的选择。既然这么不甘心,就变的更强! 1.RCE(remote commandcode execute)概述 RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程
继续阅读SDC2024 议题回顾 | 探秘语法树:反编译引擎驱动自动化漏洞挖掘 原创 SDC2024 看雪学苑 2024-11-08 17:59 “ 目前源码分析领域存在很多优秀的静态分析工具,比如 Fortify、Joern、codeql 等,在二进制分析领域这类工具则很少见,本议题将介绍演讲者在二进制程序分析工具上的探索。 ” 一起来回顾下罗思礼在SDC2024 上发表的议题演讲:《探秘语法树:反编译
继续阅读Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒 安全内参 2024-11-08 17:54 关注我们 带你读懂网络安全 共发现6个漏洞。 网络安全研究人员近日披露了Ollama人工智能(AI)框架中的六个安全漏洞,这些漏洞可能被恶意行为者利用,执行包括拒绝服务(DoS)、模型污染和模型盗窃在内的多种恶意行为。 “总的来说,这些漏洞允许攻击者通过单个HTTP请求执行一系列恶意行为,
继续阅读《中国信息安全》| 基于能力成熟度模型的车联网漏洞管理探索 开源网安 2024-11-08 17:30 精华观点软件安全开发·漏洞治理 针对车联网企业构建车联网漏洞管理能力成熟度评估模型,将有助于通过模型来推动能力建设,并形成对企业组织及管理能力动态持续改进的工作模式,可针对性地提高漏洞管理水平。 以下为正文 漏洞作为网络安全问题的核心,已引起国家层面的高度关注。 《2022 上半年网络安全漏洞态
继续阅读Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2024-11-08 14:03 漏洞概述 Xlight FTP Server是Xlight FTP公司的一款高性能且易于使用的FTP服务端软件。Xlight FTP Server支持FTP协议和SSH2协议认证,在使用SSH2进行登录认证时,从客户端算法
继续阅读Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络 胡金鱼 嘶吼专业版 2024-11-08 14:01 最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(编号为 CVE-2024-38094)正被用来获取对企业网络的初始访问权限。 CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Mi
继续阅读加拿大政府以国家安全为由下令TikTok关闭在加业务;思科工业无线设备曝高危漏洞,未授权者也可获得root权限 | 牛览 安全牛 2024-11-08 11:52 击蓝字·关注我们 / aqniu 新闻速览 •加拿大政府以国家安全为由下令TikTok关闭在加业务 •违规收集用户政治倾向等敏感数据,韩国对Meta开出1.11亿元巨额罚 •美军网络司令部试点AI工具成效显著,网络防御能力快速提升
继续阅读