「漏洞复现」百易云资产管理运营系统 comfileup.php 文件上传漏洞(XVE-2024-18154) 冷漠安全 冷漠安全 2024-08-03 11:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅
继续阅读HW2024汇总-8.2(漏洞数196) 小白菜安全 小白菜安全 2024-08-03 09:34 漏洞清单 DAY-20240802 1、D-link DIR-600存在命令注入(CVE-2024-7357) 2、泛微E-Cology系统deleteRequestInfoByXml存在XXE漏洞 3、3C环境自动监测监控系统ReadLog文件读取漏洞 4、(暂无)深圳市拓普泰尔科技有限公司RG2
继续阅读一文读懂2024HW & 2024HW漏洞合集 Hacking黑白红 2024-08-03 09:28 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请务必遵守网络安全法律法规。如文中内容涉及侵权行为,请及时联系作者,我们会立刻删除并致歉。文中内容仅供参考。 何为护网行动? 护
继续阅读HopLa插件让漏洞挖掘更轻松 柠檬赏金猎人 2024-08-03 09:05 HopLa是 Burp Suite 一款插件,其自动添加、填充测试值,使您的漏洞挖掘更加容易。 手动测试是一项非常费力的事情,记不住一下测试payload很正常,对参数值又不想手敲,那这个插件非常适合您。 默认情况下,HopLa 附带默认payload。您可以通过在菜单 中 加载自定义 JSON 文件来添加定制化您测试
继续阅读H3C路由器 userLogin.asp 信息泄漏漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 H3C路由器多系列存在信息泄露漏洞,攻击者可以利用该漏洞获取备份文件中的管理员账户及密码等敏感信息 2. 漏洞复现 GET /userLogin.asp/../actionpolicy_status/../GR2200.cfg HTTP/1.1 Ho
继续阅读Nexus Reposity3目录穿越漏洞CVE-2024-4956 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 Sonatype Nexus Repository 3(Sonatype Nexus 3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等)。它提供了一种集中化的方式来存储、管理
继续阅读同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 同享人力资源管理系统-TXEHR V15 DownloadTemplate.asmx 接口处存在文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。 2. 漏洞复现 POST /Service/Downloa
继续阅读【8/2特辑】今日热点漏洞速速自查! 安恒研究院 安恒信息CERT 2024-08-02 20:27 漏洞导览 · EKing-管理易存在任意文件上传漏洞 · EKing-管理易存在任意文件上传漏洞 · 金和OA存在任意用户添加漏洞 · 九思OA存在任意文件上传漏洞 · 方正全媒体采编系统存在任意文件读取漏洞 漏洞概况 在当前网络攻防演练中, 安恒信息 CERT正紧密关注近期曝光的安全漏洞,持续进
继续阅读对“黑客”而言,合适的漏洞奖励和安全披露 管窥蠡测 安在 2024-08-02 19:29 漏洞赏金是一种企业将自己的安全漏洞发现业务众包出去的项目。现实中,白帽可以通过参与不同的漏洞赏金活动来获得丰厚的报酬。《第四届年度黑客驱动安全报告》指出,全球黑客社区的规模和深度在持续增强,该平台有来自不同国家的9名白帽收入已超100万美元。 通过发布漏洞赏金活动,企业能够充分发挥外部白帽资源的作用。在收到
继续阅读「漏洞复现」华天动力OA downloadWpsFile.jsp 任意文件读取漏洞 冷漠安全 冷漠安全 2024-08-02 19:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞 小白菜安全 小白菜安全 2024-08-02 18:46 漏洞描述 致远互联FE协作办公平台apprvaddNew.jsp存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息。 资产信息 body=”li_plugins_download” 漏洞复现 延时注入3秒 POST /
继续阅读【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169) 原创 聚焦网络安全情报 安全聚 2024-08-02 18:41 预警公告 高危 近日,安全聚实验室监测到用友网络科技股份有限公司 NC Cloud 存在SQL注入漏洞,编号为:CNVD-2024-34169,漏洞评分:8 此漏洞允许攻击者构造特殊的请求,以获取数据库敏感信息。 01 漏洞描述 NC Cloud
继续阅读CVE-2024-36401:GeoServer未授权RCE漏洞 原创 七安 Timeline Sec 2024-08-02 18:04 关注我们❤️,添加星标🌟,一起学安全!作者:七安@Timeline Sec 本文字数:2704阅读时长:2~3min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 GeoServer 是一个开源的地理信息服务器,用于发布和共享地理空间数
继续阅读安天智甲EDR紧急响应输入法高危漏洞 安天集团 2024-08-02 18:04 点击上方”蓝字” 关注我们吧! 01 漏洞概述 2024年8月1日,网传发现某第三方输入法存在绕过windows10、windows11登录系统权限执行任意命令的漏洞。安天攻防实验室初步推断该方法适用于主流的windows10、windows11等版本操作系统,已在Windows10、wind
继续阅读39个关键硬件漏洞隐患盘点 原创 陈发明 数世咨询 2024-08-02 16:00 2018年1月,计算机行业因Meltdown和Spectre两大处理器漏洞而陷入高度警戒。这两个漏洞打破了操作系统内核与用户空间内存之间的基本安全界限。这一缺陷源于现代CPU的性能特点——推测执行,要解决这个问题,全球范围内展开了历史上规模最大的补丁协调工作,涉及CPU制造商、设备制造商以及操作系统供应商。 Me
继续阅读XCon2024议题||挖掘Windows系统组件中的认证前远程代码执行漏洞 XCon组委会 嘶吼专业版 2024-08-02 14:03 循万变·见未来——技术前瞻 未来,远程未授权漏洞的发掘将呈现三大趋势: 1、发掘难度越来越高 2、利用复杂程度越来越高,常常需要配合多个高质量漏洞,并结合目标程序的特性才能完成利用 3、云平台上远程漏洞的重要性越来越高 ——独立安全研究员 古河 在漏洞挖掘
继续阅读2024HVV-0801【0day】xxx狗输入法_逻辑绕过windows登录漏洞 原创 病毒獵手 童杭波 oldhand 2024-08-01 23:44 漏洞描述: 通过xxx狗输入法的游戏中心,打开系统权限的内部指令,直接绕过win11 权限验证登录。 ****## 一.漏洞复现1 步骤1:锁屏界面切换输入法为xxx狗 步骤2:打开屏幕键盘 步骤3:挪动屏幕键盘,点击xxx狗输入法的头像
继续阅读浅谈搜狗输入法0day的原理 原创 Ares Ares信息安全 2024-08-01 23:17 今天在wx群、情报社区,看到了很多师傅发的搜狗输入法的漏洞复现,我自己也在本地复现了一下。 复现完这个漏洞,联想到很多年前用过的破解windows7密码的一个方法,长话短说,简短的讲一下流程: 在windows7的锁屏界面有一个讲述人功能,narrator.exe 通过多次重启计算机,可以诱导系统认为
继续阅读HW2024汇总-8.1(漏洞数173) 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞清单 DAY-20240801 1.用友NC Cloud queryPsnInfo SQL注入 2.【0day】致远互联FE协作办公平台apprvaddNew存在sql注入漏洞 3.FOG敏感信息泄露(CVE-2024-41108) 4.TOTOLINK-A3700R未授权访问漏洞 5.TOTO
继续阅读【0day】同享TXEHR V15人力管理管理平台UploadHandler存在任意文件上传漏洞 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞描述 同享软件成立于1997年,运营中心位于东莞南城南新产业国际。专注研发和推广人力资源信息化产品,帮助企业构建统一的人力资源数智化平台,快速提高企业人才管理能力,提升人力资源管理效率,帮助员工快速成长,协助企业实现智慧决策。同享TXEHR
继续阅读「深蓝特训」2024 移动安全漏洞对抗专场,报名开启 深蓝特训 DARKNAVY 2024-08-01 20:27
继续阅读【漏洞预警】ELECOM 路由器命令执行漏洞(CVE-2024-39607) 原创 聚焦网络安全情报 安全聚 2024-08-01 20:05 预警公告 中危 近日,安全聚实验室监测到 ELECOM 路由器中存在命令执行漏洞,编号为:CVE-2024-39607,漏洞评分:6.8 此漏洞允许具有管理权限的攻击者发送特制的请求,以执行任意操作系统命令。 01 漏洞描述 ELECOM 路由器是一款功
继续阅读漏洞挖掘 | edusrc挖掘的骚技巧 网安探索员 2024-08-01 20:00 码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈!(主要给小白看的,大佬就当看个热闹了)
继续阅读【8/1特辑】今日热点漏洞速递 安恒研究院 安恒信息CERT 2024-08-01 19:24 漏洞导览 · 浪潮云财务系统存在远程命令执行漏洞 · 浪潮云财务系统存在远程命令执行漏洞 · 亿赛通新一代电子安全管理文档存在SQL注入漏洞 · 用友U8CLOUD存在任意文件读取漏洞 · 用友U8CLOUD存在SQL注入漏洞 · 赛蓝企业管理系统存在身份验证绕过漏洞 漏洞概况 在当前网络攻防演练中,
继续阅读Windows10/Windows11使用搜狗输入法漏洞 雾鸣安全 2024-08-01 19:11 雾鸣Team CN Mist Safety 漏洞范围:Windows10/Windows11 漏洞危害:高危 ①利用条件:在Windows10/Windows11登录界面,把输入法换成搜狗输入法。然后点击轻松使用图标,选择屏幕键盘。点击屏幕键盘中的选项按键,弹出来选项界面关闭。然后右下角就出现搜狗
继续阅读告别无效扫描站点漏洞,这两个工具嘎嘎好用 FreeBuf 2024-08-01 19:04 师傅们好,今天想和大家 聊聊两个非常实用的工具,特别适合那些需要 频繁检测网站状态和安全性 的师傅们。 – 手动检测网站存活状态耗时耗力,难以判断网站的实际存活概率,结果整理和分类繁琐。 手动配置和管理扫描任务复杂,单一工具扫描能力有限,动态内容和定制需求难以处理,无法有效追踪和管理漏洞修复进度
继续阅读【安全圈】苹果修复了iOS和macOS中的数十个漏洞 安全圈 2024-08-01 19:01 关键词 安全漏洞 Apple 发布了安全性更新,以应对 iOS、macOS、tvOS、visionOS、watchOS 和 Safari 中的多个漏洞。这家 IT 巨头发布了 iOS 17.6 和 iPadOS 17.6 以解决数十个安全漏洞,包括身份验证和策略绕过、信息泄露和拒绝服务 (DoS) 问题
继续阅读【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396) 原创 聚焦网络安全情报 安全聚 2024-07-31 21:01 预警公告 高危 近日,安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞,编号为:CVE-2023-48396,漏洞评分:8.2 此漏洞由于 jwt 密钥在应用程序中是硬编码,攻击者可以伪造任何令牌来登
继续阅读爱奇艺SRC延长暂停漏洞测试时间公告 爱奇艺安全应急响应中心 2024-07-31 21:00 爱奇艺SRC延长暂停漏洞测试时间公告: 尊敬的白帽子师傅们, 感谢大家一直以来对爱奇艺安全应急响应中心(简称“爱奇艺SRC”)的支持!为了进一步提升服务质量及用户体验,爱奇艺SRC原计划于2024年7月22日至2024年7月31日暂停漏洞接收及平台服务。由于工作调整,暂停服务的时间将延长至2024年8月
继续阅读微软:VMware身份验证绕过漏洞正在被勒索团伙利用 关键基础设施安全应急响应中心 2024-07-31 15:35 7月29日,微软发出警告指出勒索软件的犯罪团伙正在利用VMware ESXi中的一个身份验证绕过漏洞来进行攻击。该安全漏洞被追踪为CVE-2024-37085。 目前漏洞已被Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest的勒索软
继续阅读