同望OA tooneAssistantAttachement.jsp 任意文件读取漏洞
同望OA tooneAssistantAttachement.jsp 任意文件读取漏洞 Superhero Nday Poc 2024-10-11 20:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读分类: vx
Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 小薯条 FreeBuf 2024-10-11 19:47 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为CVE-202
继续阅读研究人员在Windows版的SVN中发现代码执行漏洞
研究人员在Windows版的SVN中发现代码执行漏洞 流苏 FreeBuf 2024-10-11 19:47 Apache Subversion(SVN)是一款广受开发者欢迎的版本控制系统,用于维护源代码、网页和文档。最近,Apache Subversion中发现了一个关键的安全漏洞,CVE-2024-45720(CVSS评分8.2)。该漏洞主要影响Windows平台,可能导致命令行参数注入,从而
继续阅读【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 安全圈 2024-10-11 19:01 关键词 勒索软件 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为C
继续阅读Ruby-SAML Bypass && GitLab SAML Bypass(CVE-2024-45409)
Ruby-SAML Bypass && GitLab SAML Bypass(CVE-2024-45409) 原创 L0ne1y 安全之道 2024-10-11 18:26 注:由于本地源码启动死活有问题故后续分析全为静态分析,故可能存在部分错误之处。 漏洞复现 漏洞分析 漏洞流程 在Gitlab中引入了omniauth这个三方库实现SAML认证功能(关于该库详细信息: https
继续阅读GitLab:注意严重的任意分支管道执行漏洞
GitLab:注意严重的任意分支管道执行漏洞 Bill Toulas 代码卫士 2024-10-11 17:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布安全更新,修复了位于社区版 (CE) 和企业版 (EE) 中的多个漏洞,其中一个是严重的任意分支管道执行漏洞 (CVE-2024-9164)。 该漏洞可导致未授权用户在仓库的任何分支上触发持续集成/持续交付 (CI
继续阅读【漏洞通告】GitLab EE 权限绕过漏洞(CVE-2024-9164)
【漏洞通告】GitLab EE 权限绕过漏洞(CVE-2024-9164) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: GitLab EE 权限绕过漏洞(CVE-2024-9164) 组件名称: GitLab 影响范围: 12.5 ≤ GitLab EE < 17.2.917.3 ≤ GitLab EE < 17.3.517.4 ≤ GitL
继续阅读【漏洞通告】Mozilla Firefox Animation timelines远程代码执行漏洞(CVE-2024-9680)
【漏洞通告】Mozilla Firefox Animation timelines远程代码执行漏洞(CVE-2024-9680) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: Mozilla Firefox Animation timelines 远程代码执行漏洞(CVE-2024-9680) 组件名称: Mozilla-firefox 影响范围: Fir
继续阅读.NET 一款事件查看器反序列化漏洞绕过UAC的工具
.NET 一款事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-11 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读【工具】Poc扫描图形化工具-脚本小子必备神器
【工具】Poc扫描图形化工具-脚本小子必备神器 原创 lemonlove7 鹏组安全 2024-10-10 23:58 由于微信公众号 推送机制改变了,快来 星标不再迷路,谢谢大家! 在攻防演练中,红队通常需要快速打点,尽快发现系统中的漏洞,并利用它们获取权 限。 工具支持检测多款重点系统(如:用友、海康威视、大华、宏景…)多种常见漏洞.工具提供直观友好的图像化界面,用户能够轻松
继续阅读【漏洞预警】Apache Subversion命令注入漏洞CVE-2024-45720
【漏洞预警】Apache Subversion命令注入漏洞CVE-2024-45720 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述: ApacheSubversion发布了关于CVE-2024-45720的安全通告,在Windows平台上Subversion的可执行文件(如 svn.exe 等)进行 “最佳匹配” 字符编码转换命令行参数时可能导致意外的命令行参数解释,
继续阅读【漏洞预警】GitLab CE/EE关键更新修复多个高危漏洞
【漏洞预警】GitLab CE/EE关键更新修复多个高危漏洞 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:GitLab官方发布了GitLab Community Edition(CE)和Enterprise Edition(EE)17.4.2、17.3.5 和 17.2.9更新版本,这些版本包含重要的漏洞修复和安全补丁,共修复8个安全漏洞,其中包括1个严重漏洞,4个高
继续阅读【漏洞预警】Laravel Livewire 文件上传限制不当漏洞可致远程代码执行
【漏洞预警】Laravel Livewire 文件上传限制不当漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:Laravel Livewire发布新版本,修复了一处文件上传限制不当漏洞,可致远程代码执行,该漏洞是由于Laravel Livewire文传文件时根据MIME 类型猜测文件扩展名,而不验证文件名中的实际文件扩展名,攻击者可上传具有有效M
继续阅读NodeJS 0day!代码安全为何重要 —突破强化的环境
NodeJS 0day!代码安全为何重要 —突破强化的环境 一个不正经的黑客 一个不正经的黑客 2024-10-10 22:11 基础设施强化能够使应用程序在面对攻击时更具韧性。 这些安全措施提高了攻击者的入侵难度,给他们设置了更多的障碍。然而,这并非万能之策,因为决心坚定的攻击者依然可以通过源代码中的漏洞发起攻击。 在本篇博文中,我们将通过展示一种攻击技术,强调基础代码安全的重要性。 该技术展示
继续阅读福利 | 超低价三日SRC漏洞挖掘课重磅上线
福利 | 超低价三日SRC漏洞挖掘课重磅上线 Timeline Sec 2024-10-10 22:01 重磅福利!超低价SRC课程! 原价 199 ,限量1折,前20名19.9元即可上车 连续三天10月14至10月16,每晚20:00-21:00 带你学会三类高赏金漏洞,实现高危严重的突破! 学习流程👇 扫码报名 – 领取资料 – 进群听课 相关讲师介绍
继续阅读JeecgBoot 权限绕过致AviatorScript表达式注入漏洞
JeecgBoot 权限绕过致AviatorScript表达式注入漏洞 Superhero Nday Poc 2024-10-10 21:51 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读CVE-2024-46627
CVE-2024-46627 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 DATAGERRY REST API 身份验证绕过漏洞 02 — 漏洞影响 DATAGERRY 2.2版本 0
继续阅读微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现
微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 微信公众号小说漫画系统 fileupload.php 任意文件上
继续阅读【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞
【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况Visual Studio Code(VS Code)的远程开发功能中被发现存在一个代码执行漏洞。这个漏洞是由于远程开发功能处理远程机器上的文件时未能正确地进行安全限制,允许攻击者在远程服务器上执行恶意代码。 02 漏洞处置综合处置优先级:高漏
继续阅读【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞
【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本,
继续阅读Mozilla 修复已遭利用的 Firefox 0day漏洞
Mozilla 修复已遭利用的 Firefox 0day漏洞 Bill Toulas 代码卫士 2024-10-10 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。 该漏洞由 ESET 公司的研究员 Damien Schaeffer发
继续阅读微软2024年10月补丁日重点漏洞安全预警
微软2024年10月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-10-10 16:02 补丁概述 2024 年 10 月 8 日,微软官方发布了 10 月安全更新,针对 117 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、113 个重要漏洞(
继续阅读「推安早报」1010 | 近期漏洞、红蓝工具
「推安早报」1010 | 近期漏洞、红蓝工具 red4blue 甲方安全建设 2024-10-10 11:28 # 2024-10-10 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代表本人偏好或认可 5.
继续阅读MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式
MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式 合规渗透 2024-10-09 20:45 原文:https://blog.coffinsec.com/0day/2024/08/30/exploiting-CVE-2024-20017-four-different-ways.html – 介绍 背景 漏洞 1:通
继续阅读【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602
【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: Google Chrome发布新版本,新版本修复了多个安全漏洞,其中包括一个Javascript中的类型混淆漏洞,允许远程攻击者通过特制的HTML页面潜在地利用堆损坏,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。修复建议:正式
继续阅读【漏洞预警】Ivanti CSA 需授权 命令注入漏洞
【漏洞预警】Ivanti CSA 需授权 命令注入漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述:Ivanti发布安全公告,修复了3个安全漏洞,其中包括一个影响Ivanti CSA 5.0.2之前版本的命令注入漏洞,该漏洞是由于Ivanti CSA的管理Web 控制台中对用户数据过滤不当,远程经过身份验证的攻击者如果具有管理员权限则可以利用该漏洞执行远程代码,该漏洞
继续阅读【漏洞预警】微软2024年10月补丁日多个安全漏洞
【漏洞预警】微软2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: 近日,微软官方发布了10月安全更新,修复了合计117个安全漏洞,其中,包含2个严重漏洞(Critical)、75 个高危漏洞(Important)和 40 个中危漏洞(Moderate),其中2个漏洞(CVE-2024-43572,CVE-2024-43573)在攻击中被
继续阅读微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞
微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞 原创 星空浪子 星空网络安全 2024-10-09 19:48 微软于 2024 年 10 月的补丁星期二发布了一组重要的安全更新,解决了其生态系统中总共 121 个漏洞。其中包括三个严重漏洞和 114 个标记为重要的漏洞,涵盖了微软的广泛服务和软件。 零日漏洞受到攻击 本月的补丁修复了两个已被广泛利用的零日漏洞。其中最令人担忧的是
继续阅读Microsoft 10 月 CVE 漏洞预警
Microsoft 10 月 CVE 漏洞预警 网新安服 2024-10-09 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 10 月份,Microsoft 发布了 117 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office 组件、 Azure、.NET 框架 和 Visual Studio、适用于 Windows 的
继续阅读2024-10微软漏洞通告
2024-10微软漏洞通告 火绒安全 火绒安全 2024-10-09 18:27 微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火
继续阅读