Citrix 督促 Mac 用户修复 Workspace App 中的提权漏洞
Citrix 督促 Mac 用户修复 Workspace App 中的提权漏洞 DO SON 代码卫士 2024-05-29 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Citrix 产品的幕后实体公司 Cloud Software Group 发布安全公告,提醒Mac 用户注意 Citrix Workspace app 中的一个高危漏洞CVE-2024-5027。该漏洞可导
继续阅读月度归档: 2024 年 5 月
ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎
ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎 原创 jinyu 影域实验室 2024-05-29 17:22 免责声明: 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失
继续阅读您还在苦恼先修哪个漏洞吗?
您还在苦恼先修哪个漏洞吗? 绿盟君 绿盟科技 2024-05-29 17:12 全文共2487字,阅读大约需5分钟。 在当今数字时代,网络攻击不断演变,漏洞修复已成为企业安全的重中之重。然而,随着漏洞数量的激增,如何有效处理和优先修复漏洞成为了一个挑战。根据绿盟科技发布的《2023年度安全事件观察报告》显示,全球共披露了30947个漏洞,每天平均有84.78个CVE被披露,创下历史新高。更令人担忧
继续阅读【公益译文】设计安全警报:消灭软件中的SQL注入漏洞
【公益译文】设计安全警报:消灭软件中的SQL注入漏洞 绿盟君 绿盟科技 2024-05-29 17:12 全文共2308字,阅读大约需4分钟。 一 恶意网络攻击者利用SQL注入漏洞破坏系统 SQL注入(即SQLi)漏洞是存在于商业软件产品中的持久型漏洞。在过去的二十年里,人们对SQLi漏洞有着广泛的了解和记录,也存在有效的缓解措施,但软件厂商仍不断开发可能出现该漏洞的产品,使许多客户面临风险。 几
继续阅读招募精英猎手,“矩阵杯”国产软硬件安全检测赛、原创漏洞挖掘赛等你来秀!
招募精英猎手,“矩阵杯”国产软硬件安全检测赛、原创漏洞挖掘赛等你来秀! 赛查查 2024-05-29 16:49 日前,备受瞩目的首届“矩阵杯”网络安全大赛(以下简称“矩阵杯”大赛)正式官宣启幕。作为“矩阵杯”大赛的关键组成部分,漏洞挖掘赛设置通用产品漏挖赛、国产软硬件安全检测赛、原创漏洞挖掘赛三大精彩赛事,并引入了奖金共享机制。 矩阵杯”网络安全大赛报名已于4月26日火热启动!其中漏洞挖掘赛——
继续阅读万户ezEIP企业管理系统success.aspx接口存在远程命令执行漏洞 附POC
万户ezEIP企业管理系统success.aspx接口存在远程命令执行漏洞 附POC 南风徐来 南风漏洞复现文库 2024-05-29 16:49 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户ezEIP企业管理系统简介 微信公众
继续阅读【安全科普】一文读懂文件上传漏洞(附实战详解)
【安全科普】一文读懂文件上传漏洞(附实战详解) 学习网络安全到 开源聚合网络空间安全研究院 2024-05-29 16:48 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 前言 自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。 文件上传漏洞介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行
继续阅读【攻防实战】某行业hw-如何利用nday拿下n个靶标
【攻防实战】某行业hw-如何利用nday拿下n个靶标 原创 胡图图 攻防实战指南 2024-05-29 16:27 点击上方蓝字关注我们 原创声明 本文由[ 攻防实战指南]原创,版权所有。未经本公众号书面授权,禁止任何形式的转载、摘编、复制或建立镜像。如需转载,请联系我们,违反上述声明者,我们将依法追究其法律责任 。 【序言】 上个月参加了某行业 HW,由于时间紧任务重,直接拿着 13页靶标就开始
继续阅读【漏洞通告】Showdoc远程代码执行漏洞
【漏洞通告】Showdoc远程代码执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-29 16:07 漏洞名称: Showdoc远程代码执行漏洞 组件名称: Showdoc 影响范围: Showdoc < 3.2.5 漏洞类型: 代码注入 利用条件: 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易
继续阅读使用 Google Dorks 的实例(漏洞、文件、IoTs 等)
使用 Google Dorks 的实例(漏洞、文件、IoTs 等) 原创 imBobby imBobby的自留地 2024-05-29 16:05 家人们 点击上方 蓝字关注我 开源情报的应用:Google Dorks 打造强大的安全运营中心:解读 OSINT 工具 之前有讲过 Google Dorks,实际上用好 Google Dorks 能收集到很多有用情报,且不仅限于 Google、Bing
继续阅读张一峰:重点关注新应用场景衍生的新漏洞
张一峰:重点关注新应用场景衍生的新漏洞 长亭安全观察 2024-05-29 15:36 【编者按】 微软公司披露“Dirty Stream”安全漏洞、iPhone手机遭遇“史上最复杂攻击”……今年以来,一系列热点事件将移动端安全话题推上了风口。当前,各类移动端应用层出不穷,带来诸多便利的同时,安全问题也日益凸显。近期,我们邀请多位互联网领域专家学者、创业精英,从不同角度深入探讨移动端安全的现状挑战
继续阅读spring部分漏洞,nacos部分漏洞,禅道认证绕过漏洞
spring部分漏洞,nacos部分漏洞,禅道认证绕过漏洞 BBD-YZZ 网络安全者 2024-05-28 22:19 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读「漏洞复现」用友NC linkVoucher SQL注入漏洞
「漏洞复现」用友NC linkVoucher SQL注入漏洞 冷漠安全 冷漠安全 2024-05-28 22:10 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Shiro漏洞利用工具 — ShiroEXP(5月27日更新)
Shiro漏洞利用工具 — ShiroEXP(5月27日更新) Y5neKO Web安全工具库 2024-05-28 22:06 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如
继续阅读零知识证明的先进形式化验证:两个ZK漏洞的深度剖析
零知识证明的先进形式化验证:两个ZK漏洞的深度剖析 原创 CertiK CertiK 2024-05-28 22:00 在之前的文章中,我们讨论了零知识证明的先进形式化验证:如何验证一条ZK指令 。通过形式化验证每条zkWasm指令,我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中,我们将关注 发现漏洞的视角 ,分析在审计和验证过程中发现的具体漏洞,以及从中得到的经验和教训 。如
继续阅读CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现
CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-05-28 19:02 漏洞描述 Web Directory Free是WordPress上建立在线目录网站的插件,使用该插件可以非常容易地将任何现有站点转换为功能齐全的目录业务网站。web-directory-free插件存在未
继续阅读近八成CSO认为,人为「错误」是最致命的「漏洞」
近八成CSO认为,人为「错误」是最致命的「漏洞」 小王斯基 FreeBuf 2024-05-28 18:59 左右滑动查看更多 近日,Proofpoint 公司表示,70% 的受访 首席安全官(CSO) 认为未来 12 个月内将面临重大网络攻击,在 2023 年和 2022 年这一比例分别为 68% 和 48%。其中,很多 CSO 认为最大的网络安全威胁是勒索软件攻击、恶意软件和电子邮件欺诈。 好
继续阅读【风险通告】ShowDoc存在远程代码执行漏洞
【风险通告】ShowDoc存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-05-28 18:30 漏洞概述 漏洞名称 ShowDoc存在远程代码执行漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000003 POC情况 未发现 EXP情况 未发现 在野利用
继续阅读大华智慧园区综合管理平台 /ipms/barpay/pay RCE漏洞
大华智慧园区综合管理平台 /ipms/barpay/pay RCE漏洞 小白菜安全 小白菜安全 2024-05-28 18:26 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏
继续阅读某Android网址封装系统存在SQL注入漏洞
某Android网址封装系统存在SQL注入漏洞 原创 Swimt 星悦安全 2024-05-28 18:20 漏洞简介 Android网址封装系统可以将网址打包封装成APK(暂不支持打包成IOS 应用),类似于变色龙打包APP,不过现在网上打包APP的都开始收费(100软妹币/年)和实名了 源码带安装教程和常见问题的解决方案,这只是一个demo. 资产详情 fofa:body="暂未提供
继续阅读OA-EXPTOOL漏洞综合利用框架
OA-EXPTOOL漏洞综合利用框架 LittleBear4 七芒星实验室 2024-05-28 18:11 项目介绍 OA-EXPTOOL是一款 OA综合利用工具,集合将近20款OA漏洞批量扫描**** 使用方式 – 第一次使用脚本请运行pip3 install -r requirements.txt 面板是所有参数了致远就输入 zyscan tab键有补全命令的功能 进入后help
继续阅读研究员披露WinRAR中的ANSI转义序列注入漏洞
研究员披露WinRAR中的ANSI转义序列注入漏洞 看雪学苑 看雪学苑 2024-05-28 17:59 近日,安全研究员Siddharth Dushantha发现WinRAR这款流行文件压缩软件中存在ANSI转义序列注入漏洞,可能被利用来欺骗用户或是导致系统崩溃。 该漏洞(Linux、Unix系统:CVE-2024-33899;Windows系统:CVE-2024-36052)影响早于WinRA
继续阅读VCTF apple 复现(apple的通用模板)
VCTF apple 复现(apple的通用模板) ElegyYuan0x1 看雪学苑 2024-05-28 17:59 本文参考的是Arahat0师傅(https://passport.kanxue.com/user-center-964693.htm)的脚本,这里主要介绍一下vctf apple的house of apple部分的思路。与常规的house of apple不同,这里将_wide
继续阅读TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞
TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞 BILL TOULAS 代码卫士 2024-05-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link Archer C5400X 游戏路由器易受多个漏洞影响,可导致未认证的远程攻击者在设备上执行命令。 TP-Link Archer C5400X是一款高端的三频带游戏路由器,旨在为游戏和其它需求较
继续阅读Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低
Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低 Kevin Townsend 代码卫士 2024-05-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rapid7 公司发布报告称,0day 攻击持续升级,供应链大规模攻陷事件也在不断增多;我们当前仍然未能正确使用多因素认证 (MFA) 机制,目前尚未看到改进迹象。 Rapid7 公司发布《2024攻击情报报
继续阅读【漏洞预警】Splunk Enterprise信息泄露漏洞(CVE-2024-29945)
【漏洞预警】Splunk Enterprise信息泄露漏洞(CVE-2024-29945) cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述:Splunk是美国Splunk公司的一套数据收集分析软件,主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 9.2.1之前版本、9.1.4之前版本、
继续阅读【漏洞预警】Showdoc 未授权 SQL注入漏洞
【漏洞预警】Showdoc 未授权 SQL注入漏洞 cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述: ShowDoc V3.2.5 之前的版本中存在SQL注入漏洞,攻击者可通过此漏洞获取登录登录token并进入后台。进入后台后可结合反序列化漏洞,写入WebShell,从而获取服务器权限。修复建议:正式防护方案:官方已经发布了修复补丁,请立即更新到安全版本:showdoc&
继续阅读【漏洞预警】Elasticsearch授权错误漏洞(CVE-2024-23451)
【漏洞预警】Elasticsearch授权错误漏洞(CVE-2024-23451) cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述:Elasticsearch是一个基于Lucene库的搜索引擎,Elasticsearch 8.10.0版本、8.13.0之前版本存在授权错误漏洞,具有有效API密钥的攻击者可利用该漏洞读取远程集群上任意索引的任意文档。受影响系统:Elasti
继续阅读【漏洞预警】Ampache命令注入漏洞(CVE-2024-1540)
【漏洞预警】Ampache命令注入漏洞(CVE-2024-1540) cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述: Ampache是一款基于Web的音频/视频应用程序和文件管理器,Ampache存在命令注入漏洞,该漏洞源于程序未正确中和命令中的特殊元素,攻击者可利用该漏洞执行未经授权的命令,进而修改基本存储库或导致机密泄露。 修复建议: 厂商补丁:目前厂商已经发布了升
继续阅读用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞
用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞 安全客 安全客 2024-05-28 17:27 TP-Link Archer C5400X 游戏路由器 被披露存在一个最高严重性安全漏洞 ,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。 该漏洞被标记为 CVE-2024-5035 ,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本
继续阅读