CVE-2024-0519:Google Chrome V8越界访问漏洞通告
CVE-2024-0519:Google Chrome V8越界访问漏洞通告 原创 360CERT 三六零CERT 2024-01-17 19:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-647 报告来源:360CERT 报告作者:360CERT 更新日期:2024-01-17 1 漏洞简述 2024年01月17日,360CERT监测发现Google发布了Chrome f
继续阅读分类: vx
【漏洞通告】VMware Aria Automation 访问控制错误漏洞CVE-2023-34063
【漏洞通告】VMware Aria Automation 访问控制错误漏洞CVE-2023-34063 深瞳漏洞实验室 深信服千里目安全技术中心 2024-01-17 18:01 漏洞名称: VMware Aria Automation 访问控制错误漏洞(CVE-2023-34063) 组件名称: VMware Aria Automation 影响范围: VMware Aria Automatio
继续阅读Citrix 提醒注意已遭利用的两个 NetScaler 0day 漏洞
Citrix 提醒注意已遭利用的两个 NetScaler 0day 漏洞 Sergiu Gatlan 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,Citrix 督促客户立即修复影响 NetScaler ADC 和 Gateway 设备的两个已遭利用 0day 漏洞(CVE-2023-6548和CVE-2023-6549)。 这两
继续阅读Opera 文件共享特性中存在RCE漏洞
Opera 文件共享特性中存在RCE漏洞 Ionut Arghire 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Guardio Labs 发布报告指出,用于设备之间共享文件的 Opera 浏览器特性中存在一个漏洞,可导致 RCE 后果。 受影响的特性 My Flow 允许用户仅使用 Opera 的移动应用扫描一个 QR码就轻松在桌面和移动设备
继续阅读漏洞公告 | Ivanti VPN远程代码执行漏洞
漏洞公告 | Ivanti VPN远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-01-17 17:25 01 漏洞概况**** Ivanti Connect Secure,原名Pulse Connect Secure,是一款企业级远程访问解决方案。这个产品主要提供安全远程访问(VPN),多因素认证等功能。 本次漏洞利用链包含两个漏洞,分别为身份验证绕过(CVE-2023-46
继续阅读Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告
Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8越界访问漏洞 漏洞编号 QVD-2024-2834,CVE-2024-0519 公开时间 2024-01-16 影响量级 千万级 奇安信评级 高危 CVSS 3
继续阅读NetScaler ADC 和 NetScaler Gateway 多个在野漏洞安全风险通告
NetScaler ADC 和 NetScaler Gateway 多个在野漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway 多个在野漏洞 漏洞编号 CVE-2023-6548,CVE-2023-6549 公开时间 2024-01-17 影响量级
继续阅读Oracle 2024年1月补丁日多产品高危漏洞安全风险通告
Oracle 2024年1月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-01-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读CNNVD通报GitLab安全漏洞情况
CNNVD通报GitLab安全漏洞情况 安全牛 2024-01-17 11:59 近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202401-1171、CVE-2023-7028)情况的报送。攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.
继续阅读立即更新!GitLab曝满分零点击账户劫持漏洞
立即更新!GitLab曝满分零点击账户劫持漏洞 看雪学苑 看雪学苑 2024-01-15 17:59 1月11日,GitLab发布了一个紧急安全更新,以修复一个CVSS评分10分的零点击账户劫持漏洞。攻击者能够通过密码重置接管受害者账户,并且无需任何用户交互。 据了解,这是 GitLab CE/EE中的一个认证问题,影响从16.1到16.1.6、16.2到16.2.9、16.3到16.3.7、16
继续阅读上周关注度较高的产品安全漏洞(20240108-20240114)
上周关注度较高的产品安全漏洞(20240108-20240114) 原创 CNVD CNVD漏洞平台 2024-01-15 17:43 一、境外厂商产品漏洞 1、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2024-01409) Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在缓冲区溢出漏洞,
继续阅读GitLab 提醒注意严重的零点击账户劫持漏洞
GitLab 提醒注意严重的零点击账户劫持漏洞 Bill Toulas 代码卫士 2024-01-15 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 GitLab 发布社区版和企业版的安全更新,修复了两个漏洞,其中一个在无需用户交互的情况下可劫持账户。 GitLab 强烈建议用户尽快更新所有的 DevSecOps 平台易受版本(自托管安装需要手动更新),并提醒称,如果没
继续阅读Juniper 提醒注意防火墙和交换机中的严重RCE漏洞
Juniper 提醒注意防火墙和交换机中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-01-15 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Juniper Networks 公司发布安全更新,修复了位于 SRX 系列防火墙和EX系列交换机中的一个严重的预认证RCE漏洞 CVE-2024-21591。 该漏洞位于设备的 J-Web 配置接口中,可被未认证攻
继续阅读思科又曝高危漏洞,黑客利用可获取 root 权限
思科又曝高危漏洞,黑客利用可获取 root 权限 网络安全应急技术国家工程中心 2024-01-15 14:55 近日,思科修补了一个关键的 Unity Connection 安全漏洞,该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、C
继续阅读ByteCodeDL能找到log4shell(CVE-2021-44228)漏洞吗
ByteCodeDL能找到log4shell(CVE-2021-44228)漏洞吗 船山信安 2024-01-15 00:01 TL;DR 本文介绍了尝试使用ByteCodeDL、ByteCodeDL-PathFinder、ByteCodeDL-Neo4j-IDEA-Plugin 这些工具去复现log4shell漏洞的挖掘过程。 本文会尝试解决下面几个问题: 1. 节点过多,查不出路径怎么办? 查
继续阅读漏洞扫描VS渗透测试
漏洞扫描VS渗透测试 原创 铸盾安全 河南等级保护测评 2024-01-15 00:00 随着网络攻击变得越来越复杂 ,企业需要投资更强大的安全解决方案,例如漏洞评估 和渗透测试 ,以保护其数据、声誉和收入。 漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻击以利用弱点,以证明网络安全的有效性。主要区别在于,漏洞扫描用于防御性和进攻性网络安全策略,而渗透测试
继续阅读某OA系统快速代码审计(0day)
某OA系统快速代码审计(0day) 探幽安全 2024-01-14 23:45 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 再一次寻找源码的过程当中,从某网盘搜索到了一个某OA系统,对此进行了一个快速代码审计。 0x01 审计过程 还是一如既往,快速定位出鉴权函数或
继续阅读实战 | 奇怪的万能密码登录漏洞
实战 | 奇怪的万能密码登录漏洞 渗透安全团队 2024-01-14 21:25 前言 打的站点打多了,什么奇怪的问题都会发生 打点 开局一个登录框 用户枚举到账号爆破 测了一下,没发现admin的弱口令,但是发现存在用户枚举漏洞,因此准备跑一下账号 输入密码为123456 进行账号爆破 成功爆破出账号 à 是的,你没看错,就是à,经过测试发现任意密码都可以 登录 尝试利用账号à进行登录,发现是失
继续阅读【漏洞复现】Gitlab任意用户密码重置
【漏洞复现】Gitlab任意用户密码重置 原创 Chris 溪琉安全录 2024-01-14 19:52 0x01 前言 2024年1月,GitLab发布安全更新修复了一个任意用户密码重置漏洞,CVE编号为 CVE-2023-7028,原因是 在GitLab发布的16.1.0版本中引入了通过电子邮件找回密码的功能,已经注册的用户输入电子邮件会发送一个带有重置密码链接的邮件,攻击者可以通过构造恶意的
继续阅读【漏洞情报 | 新】用友GRP-U8 ufgovbank XXE漏洞
【漏洞情报 | 新】用友GRP-U8 ufgovbank XXE漏洞 原创 4Zen 划水但不摆烂 2024-01-14 19:02 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 用友GRP-U8是一款企业级的综合管理软件,主要用于财务、人力资源、供应链、生产制造等多个领
继续阅读【安全圈】男子利用网络漏洞刷取游戏金币,非法获利413万
【安全圈】男子利用网络漏洞刷取游戏金币,非法获利413万 安全圈 2024-01-14 19:01 关键词 网络漏洞 互联网时代,网络游戏行业繁荣发展,职业玩家也应运而生。很多玩家把玩游戏获得的金币和装备变卖作为赚钱的一条途径,但利用网络漏洞非法刷取游戏金币的行为则可能涉嫌犯罪。 10月23日,经滨江区检察院提起公诉,被告人徐某犯非法获取计算机信息系统数据罪,判处有期徒刑三年六个月,并处罚金15万
继续阅读【安全圈】辽宁一男子与公司发生矛盾利用漏洞致公司200台电脑瘫痪
【安全圈】辽宁一男子与公司发生矛盾利用漏洞致公司200台电脑瘫痪 安全圈 2024-01-14 19:01 关键词 漏洞 阿聪(化名)一直觉得公司在薪酬及加班等问题上对自己不公平,心里非常不满。他假扮“黑客”入侵公司服务器,恶意破坏公司网络,禁用了公司200台电脑的域名解析功能,给企业造成混乱和损失…… “企业的200多台电脑全部瘫痪,我们怀疑有人恶意破坏,”一月初,盘锦市兴隆台公安分局接到辖区内
继续阅读最新Invicti Professional v24.12漏洞扫描器下载
最新Invicti Professional v24.12漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-01-14 16:29 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款商业 Web
继续阅读GitLab修复了一个严重的零点击账户劫持漏洞
GitLab修复了一个严重的零点击账户劫持漏洞 鹏鹏同学 黑猫安全 2024-01-14 11:09 GitLab发布了安全更新,以解决影响社区版和企业版的两个关键漏洞。最严重的漏洞被标记为CVE-2023-7028(CVSS评分10),是通过密码重置进行账户劫持。该漏洞可以在无需任何交互的情况下劫持账户。 GitLab发布的警告中写道:“在GitLab CE/EE的所有版本中,从16.1之前的版
继续阅读CVE-2023-7028 GitLab Account Takeover漏洞分析
CVE-2023-7028 GitLab Account Takeover漏洞分析 原创 chestnut 闲聊趣说 2024-01-14 10:45 前言 没学过ruby代码,其语法和C like语言差的很多,只能通过AI辅助分析,大概也看懂了,喜欢这个文章的话点个赞支持一下。 基本信息 Gitlab中可以通过重置密码接口发送恶意请求,当已知注册邮箱且开启邮箱登录时,攻击者可以获取到重置密码链接
继续阅读【python专题】poc编写过程万能正则获取字符串
【python专题】poc编写过程万能正则获取字符串 原创 南极熊 SCA御盾 2024-01-14 09:44 星球介绍 SCA御盾星球介绍详情请访问如下链接: SCA御盾星球介绍 0x01 阅读须知 SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利
继续阅读Nacos漏洞综合利用GUI工具
Nacos漏洞综合利用GUI工具 黑白之道 2024-01-14 08:54 前言 本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。 工具使用说明(v3.4版本) 漏洞检测 漏洞检测支持非常规路径的检查,比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/na
继续阅读GitLab任意用户密码重置漏洞验证脚本 CVE-2023-7028
GitLab任意用户密码重置漏洞验证脚本 CVE-2023-7028 SecHaven 赛哈文 2024-01-14 08:53 脚本使用方法一: python3 CVE-2023-7028.py -u https://gitlab.example.com -t [email protected] 脚本使用方法二: python3 CVE-2023-7028.py -u https:/
继续阅读afrog漏洞检测工具的官方PoCs库(1月6日更新)
afrog漏洞检测工具的官方PoCs库(1月6日更新) zan8in 黑客白帽子 2024-01-14 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 afrog-pocs 是 afrog 漏洞检测工具的官方 PoCs(Proof of Concepts)库。这个开源项目旨在为安全研
继续阅读[漏洞复现]CVE-2024-21645
[漏洞复现]CVE-2024-21645 原创 fgz AI与网安 2024-01-14 00:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 pyload日志注入漏洞 02 — 漏洞影响 pyload-ng < 0.5.0b3.dev
继续阅读