使用 SyntaxFlow 审计你的第一个“漏洞”
使用 SyntaxFlow 审计你的第一个“漏洞” 原创 V1ll4n Yak Project 2024-06-28 17:30 SyntaxFlow SyntaxFlow 是一个 Yaklang 出品的编译器级的高级静态分析语言。你可以使用 SyntaxFlow 分析被 Yaklang SSA 编译器编译后的程序(IrCode in Database)。 声明 SyntaxFlow 技术目前仅供
继续阅读分类: vx
GitLab身份认证绕过漏洞(CVE-2024-5655)安全风险通告
GitLab身份认证绕过漏洞(CVE-2024-5655)安全风险通告 奇安信 CERT 2024-06-28 17:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-24650,CVE-2024-5655 公开时间 2024-06-26 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.6 威胁类型 代
继续阅读2024攻防演练必修高危漏洞集合(4.0版)
2024攻防演练必修高危漏洞集合(4.0版) 漏洞情报中心 斗象智能安全 2024-06-28 14:38 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象情报中心依托漏洞盒子的海量漏洞数据、情报星
继续阅读尽快修补!新的 MOVEit 传输漏洞记录的漏洞正在被利用
尽快修补!新的 MOVEit 传输漏洞记录的漏洞正在被利用 信息安全大事件 2024-06-27 20:04 一个新披露的严重安全漏洞影响了 Progress Software MOVEit Transfer,在该漏洞的细节被公开披露后不久,就已经看到了漏洞利用的尝试。 该漏洞被跟踪为 CVE-2024-5806(CVSS 评分:9.1),涉及影响以下版本的身份验证绕过 – ̵
继续阅读【安全圈】现已修复!AirPods 最新固件曝出蓝牙漏洞,可能导致设备被窃听
【安全圈】现已修复!AirPods 最新固件曝出蓝牙漏洞,可能导致设备被窃听 安全圈 2024-06-27 19:00 关键词 系统漏洞 近日,苹果公司发布了 AirPods 的固件更新,但此版本固件曝出了一个严重漏洞,被追踪为 CVE-2024-27867,可能允许恶意行为者以未经授权的方式访问耳机。 该漏洞影响 AirPods第二代及更高版本、AirPods Pro所有型号、AirPods M
继续阅读「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞
「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞 冷漠安全 冷漠安全 2024-06-27 18:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读苹果修复可导致窃听的 AirPods 蓝牙漏洞
苹果修复可导致窃听的 AirPods 蓝牙漏洞 THN 代码卫士 2024-06-27 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 AirPods 发布固件更新,修复了其中的认证漏洞 (CVE-2024-27867)。该漏洞可导致恶意人员以越权方式获得对耳机的访问权限。 该漏洞影响 AirPods(第2代及后续版本)、AirPods Pro(所有机型)、AirPods
继续阅读美国拟投资3.6亿元,研发医疗设备漏洞管理方案
美国拟投资3.6亿元,研发医疗设备漏洞管理方案 安全内参 2024-06-27 16:39 关注我们 带你读懂网络安全 UPGRADE计划是美国卫生高级研究计划局推出的资助项目,旨在实现医疗设备网络安全自动化,让医护人员可以专注于病患护理。 前情回顾·医疗器械网络安全动态 – 权威指南:老旧医疗设备网络安全该怎么做? 美国修订法律:医疗器械上市需自证网络安全,否则不予通过 美国食品和药
继续阅读【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新
【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新 奇安信 CERT 2024-06-27 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1
继续阅读FastJson-RCE (CVE-2017-18349) 漏洞复现
FastJson-RCE (CVE-2017-18349) 漏洞复现 原创 F0R 朱厌安全 2024-06-26 23:51 0X01 环境搭建 Java环境:JDK 8 物理机环境:Windows 11 Tomcat版本:8.5.0 Maven版本:3.9.8 IDEA版本:最新版本 漏洞验证工具:burpsuite2024版本、JNDIExploit-1.4-SNAPSHOT.jar (工
继续阅读Apple 修补了可能允许窃听的 AirPods 蓝牙漏洞
Apple 修补了可能允许窃听的 AirPods 蓝牙漏洞 信息安全大事件 2024-06-26 21:19 Apple 发布了 AirPods的固件更新,可能允许恶意行为者以未经授权的方式访问耳机。 该身份验证问题被跟踪为 CVE-2024-27867,会影响 AirPods(第 2 代及后续机型)、AirPods Pro(所有型号)、AirPods Max、Powerbeats Pro 和 B
继续阅读一次报错所引发的五千漏洞赏金记录
一次报错所引发的五千漏洞赏金记录 迪哥讲事 2024-06-26 20:31 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organization 状态码返回3
继续阅读【漏洞通告】Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806)
【漏洞通告】Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-26 19:36 漏洞名称: Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 组件名称: MOVEit Transfer 影响范围: 2023.0.0 ≤ MOVEit Transfer <
继续阅读学习干货|保姆式实战等保测评Linux镜像(邀请码+综合全流程+未公开漏洞)
学习干货|保姆式实战等保测评Linux镜像(邀请码+综合全流程+未公开漏洞) 原创 爱州 州弟学安全 2024-06-26 19:00 0x01 前言 在之前,我们对等保测评的自查理论步骤做出来总结,分为上中下三篇文章,后期应多位师傅的要求,又自作了Windows等保测评镜像,对各步骤进行了模块化梳理,此次我们对Linux进行复现,依旧是对各模块步骤梳理,主要是为了加深印象,关于既往文章点以下名片
继续阅读马里兰大学 | 漏洞可利用性预测
马里兰大学 | 漏洞可利用性预测 原创 MJXV 安全学术圈 2024-06-26 17:58 原文标题:Expected Exploitability: Predicting the Development of Functional Vulnerability Exploits原文作者:Octavian Suciu, Connor Nelson†, Zhuoer Lyu†, Tiffany B
继续阅读MOVEit Transfer 软件中存在高危的认证不当漏洞
MOVEit Transfer 软件中存在高危的认证不当漏洞 THN 代码卫士 2024-06-26 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Progress Software 公司的MOVEit Transfer 软件中存在一个高危漏洞 (CVE-2024-5806),可导致攻击者绕过该平台的认证机制。就在被披露的数小时后,该漏洞已遭利用。 MOVEit Transfe
继续阅读Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告
Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告 奇安信 CERT 2024-06-26 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Progress MOVEit Transfer身份认证绕过漏洞 漏洞编号 QVD-2024-24490,CVE-2024-5806 公开时间 2024-06-25 影响量
继续阅读漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程
漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程 迪哥讲事 2024-06-25 23:11 0x01 前言 作为一个职业又非职业性的漏洞挖掘者,除工作内做渗透和挖洞,其它挖洞基本上都是为了写公众号,并没有很专注的去了解职业SRC,清晰的记得有一次,挖到的一个在线商城漏洞,根据特征找到了存活站点一千多个,独立IP几百个,上交CNVD或一些广泛收录通用型漏洞的平台也可以换马内,但是我最后还是交了公益,现
继续阅读ctfshow之无字母数字的命令执行
ctfshow之无字母数字的命令执行 原创 vientiane TimeAxis Sec 2024-06-25 23:06 点击蓝字关注我们 无字母数字的命令执行 ctfshow web入门 55 题目: <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Mod
继续阅读【漏洞情报】MetaCRM6存在文件上传漏洞
【漏洞情报】MetaCRM6存在文件上传漏洞 cexlife 飓风网络安全 2024-06-25 22:25 漏洞描述: MetaCRM6是一款客户关系管理系统,etaCRM6存在文件上传漏洞,攻击者可利用漏洞上传恶意文件。官方解决方案:厂商已发布补丁修复漏洞,请广大用户及时下载更新:http://www.metasoft.com.cn/buding.html
继续阅读【漏洞预警】MailDev 2远程代码执行漏洞(CVE-2024-27448)
【漏洞预警】MailDev 2远程代码执行漏洞(CVE-2024-27448) cexlife 飓风网络安全 2024-06-25 22:25 漏洞描述:MailDev是MailDev开源的一种在开发过程中测试项目生成的电子邮件的简单方法。MailDev2至2.1.0及之前版本存在远程代码执行漏洞,攻击者可利用该漏洞通过邮件附件的特制Content-ID标题导致lib/mailserver.js在
继续阅读真内控国产化开发平台preview接口存在任意文件读取漏洞
真内控国产化开发平台preview接口存在任意文件读取漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 真内控国产化开发平台简介 微信公众号搜索:南风漏洞复现文库
继续阅读通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC
通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 通天星CMSV6车载定位监控平台简介 微信
继续阅读【漏洞通告】Apache Kafka UI 远程代码执行漏洞CVE-2024-32030
【漏洞通告】Apache Kafka UI 远程代码执行漏洞CVE-2024-32030 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-25 19:38 漏洞名称: Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030) 组件名称: Apache-Kafka UI 影响范围: Apache Kafka UI ≤ 0.7.1 漏洞类型: 代码注入 利用条件: 1
继续阅读一款简单好用的漏洞管理工具
一款简单好用的漏洞管理工具 P001water 信安404 2024-06-25 19:24 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目介绍 漏洞管理工具 漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮
继续阅读【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc
【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc 原创 xiaocaiji 网安鲲为帝 2024-06-25 19:15 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 文 章 作 者
继续阅读Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告
Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告 奇安信 CERT 2024-06-25 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.1 威胁类
继续阅读Ollama AI 基础设施工具中存在严重的RCE漏洞
Ollama AI 基础设施工具中存在严重的RCE漏洞 THN 代码卫士 2024-06-25 17:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员详细说明了开源人工智能 (AI) 基础设施平台 Ollama 中存在的一个现已修复的远程代码执行漏洞 (CVE-2024-37032)。 该漏洞被云安全公司 Wiz 称为 “Probllama”,由研究员在2024年5月5日
继续阅读雷神众测漏洞周报2024.06.17-2024.06.23
雷神众测漏洞周报2024.06.17-2024.06.23 原创 雷神众测 雷神众测 2024-06-25 15:29 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读15款热门企业级漏洞管理系统可用性分析
15款热门企业级漏洞管理系统可用性分析 安全牛 2024-06-25 13:49 提起漏洞管理,很多人都会想到漏洞扫描器。然而事实上,漏洞扫描只是为了识别发现系统中存在的安全漏洞。而漏洞管理需要包含整个漏洞防护的全生命周期,在有效识别漏洞的基础上,进一步评估、排序和处置修复所发现的各种安全性缺陷。 开展全面且持续的漏洞管理工作,对于企业组织改善数字化应用安全状况,降低潜在风险,并保持数字资产的完整
继续阅读