奖金大放送!华为云漏洞奖励翻倍活动,只等最“粽”要的您~
奖金大放送!华为云漏洞奖励翻倍活动,只等最“粽”要的您~ 原创 华为安全奖励计划 华为安全应急响应中心 2024-05-24 18:10 天气☀ 端午佳节宜挖洞 蒲艾悠香,夏日渐长 与您相约,华为云”粽“头戏 华为云端午 “粽” 头戏**** 粽叶飘香五月五,浓情端午共安康。 一年一度的佳节即将来临, 华为云端午漏洞活动 已备好超丰厚的奖金与礼品,只等最“粽”要的您来参加~ 活动时间: 202
继续阅读月度归档: 2024 年 5 月
允许执行任意代码,英特尔披露其AI模型压缩软件中的满分漏洞
允许执行任意代码,英特尔披露其AI模型压缩软件中的满分漏洞 看雪学苑 看雪学苑 2024-05-24 18:04 近日,英特尔披露了其AI模型压缩软件Neural Compressor中的一个最高严重性漏洞,该漏洞可能允许未经身份验证的攻击者在受影响系统上执行任意代码。 英特尔确认该漏洞(CVE-2024-22476,CVSS评分10.0)源于不当的输入验证,即未能正确对用户输入进行清理。该芯片制
继续阅读【漏洞通告】Google Chrome 浏览器越界写入漏洞CVE-2024-4761
【漏洞通告】Google Chrome 浏览器越界写入漏洞CVE-2024-4761 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-24 18:03 漏洞名称: Google Chrome 浏览器越界写入漏洞(CVE-2024-4761) 组件名称: Chrome 影响范围: Google Chrome < 124.0.6367.207 漏洞类型: 越界写入 利用条件: 1、用户
继续阅读CVE-2024-21683 Confluence RCE 分析(译)
CVE-2024-21683 Confluence RCE 分析(译) Pearce 3072 2024-05-24 18:03 关于漏洞 这是一个在 Atlassian Confluence 中需要权限的远程代码执行漏洞 CVE-2024-21683。 描述 这个高严重性的 RCE(远程代码执行)漏洞是在 Confluence Data Center 和 Server 的 5.2 版本中引入的。
继续阅读CVE-2024-4985|GitHub Enterprise Server身份验证绕过漏洞(POC)
CVE-2024-4985|GitHub Enterprise Server身份验证绕过漏洞(POC) alicy 信安百科 2024-05-24 17:56 0x00 前言 GitHub Enterprise Server 是企业内软件开发的一个自承载平台。你的团队可以使用 GitHub Enterprise Server 通过 Git 版本控制、强大的 API、生产力和协作工具及集成生成和交付
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞(POC)
CVE-2024-4367|Mozilla PDF.js代码执行漏洞(POC) alicy 信安百科 2024-05-24 17:56 POC: https://github.com/LOURC0D3/CVE-2024-24787-PoC import sys def generate_payload(payload): return f""" %PDF-1.4 %D
继续阅读CVE-2024-21683|Atlassian Confluence远程代码执行漏洞(POC)
CVE-2024-21683|Atlassian Confluence远程代码执行漏洞(POC) alicy 信安百科 2024-05-24 17:56 0x00 前言 Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。 0x01 漏洞描述 经过身份验证的攻击者可构造恶
继续阅读CNNVD关于Atlassian Confluence安全漏洞的通报
CNNVD关于Atlassian Confluence安全漏洞的通报 金盾信安 2024-05-24 17:38 近日,国家信息安全漏洞库(CNNVD)收到关于Atlassian Confluence 安全漏洞(CNNVD-202405-4060、CVE-2024-21683)情况的报送。经过身份认证的远程攻击者通过构造特殊的请求,可在目标服务器执行任意代码。Atlassian Confluenc
继续阅读Ivanti 修复Endpoint Manager 中的严重RCE漏洞
Ivanti 修复Endpoint Manager 中的严重RCE漏洞 THN 代码卫士 2024-05-24 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Ivanti 公司修复了位于 Endpoint Manager (EPM) 中的多个严重漏洞,在某些情况下可用于实现远程代码执行。 Ivanti 本次共修复10个漏洞,其中6个即编号为从CVE-2024-29822
继续阅读GitLab 高危漏洞可导致账号遭接管
GitLab 高危漏洞可导致账号遭接管 Sergiu Gatlan 代码卫士 2024-05-24 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 修复了一个高危漏洞,它可导致未认证攻击者在跨站点脚本攻击中接管用户账户。 该漏洞的编号是CVE-2024-4835,是位于VS 代码编辑器 (Web IDE)中的一个XSS弱点,可导致威胁行动者使用恶意构造的页面窃取受限
继续阅读红队视角!2024国家级攻防演练100+必修高危漏洞合集
红队视角!2024国家级攻防演练100+必修高危漏洞合集 你信任的 亚信安全 2024-05-24 17:03 90% ! 2023攻防演练期间 暴露的web漏洞占比90% 覆盖VPN、远程工具、办公软件 OA系统、聊天工具、安全产品等全路径 100% ! 隐藏在暗处的高危漏洞 一旦被利用,被攻陷率近100% 很多企业为此导致整个防御体系被突破 从而 遗憾出局 2024国家级攻防演练在即,亚信安全
继续阅读【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告 奇安信 CERT 2024-05-24 16:41 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8 类型混淆漏洞 漏洞编号 QVD-2024-20506,CVE-2024-5274 公开时间 2024-05-24 影响量级 千万级 奇安信评级
继续阅读内部VPN遭漏洞攻击未向监管报告,这家金融巨头被罚超7000万元
内部VPN遭漏洞攻击未向监管报告,这家金融巨头被罚超7000万元 网络安全应急技术国家工程中心 2024-05-24 15:06 疑似国家级黑客入侵了纽交所母公司的VPN设备,试图窃取该设备上的用户账号信息,以进一步渗透内网; 纽交所母公司评估该事件影响极小,但SEC认为其作为市场关键主体,未能及时上报事件,以此处罚1000万美元。 5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报
继续阅读PDF.js中任意JavaScript代码执行(小核弹)
PDF.js中任意JavaScript代码执行(小核弹) 原创 110hacker 一个不正经的黑客 2024-05-23 23:34 简介 本文详细介绍了CVE-2024-4367,这是由Codean Labs发现的PDF.js中的一个漏洞。 PDF.js是一个由Mozilla维护的基于JavaScript的PDF查看器。此漏洞允许攻击者在打开恶意PDF文件时执行任意JavaScript代码。由
继续阅读Google Chrome 的漏洞链分析(译)
Google Chrome 的漏洞链分析(译) 3072 3072 2024-05-23 23:02 0day工程洞察 Google Chrome 在 Viz 和 v8-wasm 上的“积极利用”漏洞链 (2024年5月) 概述 Google 最近为 Chrome 浏览器发布了两个正在被积极利用的漏洞链的紧急安全更新。这些漏洞分别在 5月9日 (沙箱绕过)和 5月13日 (远程代码执行)被修复。这
继续阅读通过路径遍历所实现的RCE
通过路径遍历所实现的RCE 原创 Richardo1o1 迪哥讲事 2024-05-23 23:00 漏洞原理 路径遍历:这种类型的安全漏洞允许攻击者访问应用程序本不打算公开的文件和目录。通过构造特殊的输入,如使用../(向上遍历目录)的序列,攻击者可以逃离受限的目录,访问文件系统上的其他位置。 利用GitLab包注册API:攻击者通过向GitLab的包注册API发送特殊构造的请求,利用路径遍历漏
继续阅读听说PDF.js插件漏洞很火?
听说PDF.js插件漏洞很火? 巢安实验室 巢安实验室 2024-05-23 21:50 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pd f.js 是社区驱动的,并由 Mozilla 支持。 我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在代码注入漏洞,当PDF.js配置
继续阅读Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析
Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析 原创 W01fh4cker 追梦信安 2024-05-23 21:09 一、漏洞调试环境搭建 以8.9.0和8.9.1为例: https://product-downloads.atlassian.com/software/confluence/downloads/atlassi
继续阅读用友NC warningDetailInfo接口存在SQL注入漏洞
用友NC warningDetailInfo接口存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-23 21:08 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读漏洞预警 | Git 远程代码执行(CVE-2024-32002)漏洞复现与分析
漏洞预警 | Git 远程代码执行(CVE-2024-32002)漏洞复现与分析 源鲁安全实验室 2024-05-23 20:53 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x00 简介 Git是一款免费开源的分布式版本控制系统,支持在多个系统中安装运行,广泛用于协作开发和管理软件项目。
继续阅读VPN遭漏洞攻击未向监管报告,被罚七千万巨款
VPN遭漏洞攻击未向监管报告,被罚七千万巨款 信息安全大事件 2024-05-23 20:25 5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司,在全球范围内拥有并经营多家金融交易所和结算所,包括纽约证券交
继续阅读魔方网表mailupdate接口文件上传漏洞
魔方网表mailupdate接口文件上传漏洞 小白菜安全 小白菜安全 2024-05-23 20:07 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 po
继续阅读【安全圈】英特尔 AI 模型压缩器现满分漏洞,可导致任意代码执行
【安全圈】英特尔 AI 模型压缩器现满分漏洞,可导致任意代码执行 安全圈 2024-05-23 19:00 关键词 漏洞 据Info risk today消息,英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞,该漏洞在 CVSS 的评分为满分10分,黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工
继续阅读【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956)
【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒研究院 安恒信息CERT 2024-05-23 18:32 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒CERT评级 2级 CVSS3.1评分 7.5 CVE编号 CVE-2024-4956 CNV
继续阅读CNNVD | 关于Atlassian Confluence安全漏洞的通报
CNNVD | 关于Atlassian Confluence安全漏洞的通报 中国信息安全 2024-05-23 18:30 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Atlassian Confluence 安全漏洞(CNNVD-202405-4060、CVE-2024-21683)情况的报送。经过身份认证的远
继续阅读【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告
【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告 奇安信CERT 代码卫士 2024-05-23 17:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 路径遍历漏洞 漏洞编号 QVD-2024-18749,CVE-2024-4956 公开时间 2
继续阅读可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC
可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC 关键基础设施安全应急响应中心 2024-05-23 16:07 近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本,并在3.9.15、3.10.12、3
继续阅读手把手玩转路由器漏洞挖掘系列 – COAP协议分析
手把手玩转路由器漏洞挖掘系列 – COAP协议分析 原创 nil 山石网科安全技术研究院 2024-05-23 15:17 1. 基本介绍 1.1 概要 – 轻量化HTTP协议 CoAP(Constrained Application Protocol)是一种专为受限环境下的物联网设备设计的轻量级通信协议。它基于UDP协议,旨在提供一种简单、高效的通信方式,适用于资源受限的
继续阅读四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览
四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览 安全牛 2024-05-23 13:28 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ 四部门联合发布《互联网政务应用安全管理规定》,自7月1日起施行 ㆍ陕西警方打击整治网络暴力违法犯罪5起典型案例 ㆍYouTube成为助长网络犯罪的新“温床” ㆍ70%的CISO认
继续阅读某网址导航页 搜索页面存在SQL注入漏洞
某网址导航页 搜索页面存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-22 23:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!! 0
继续阅读