某一次PDF-XSS漏洞挖掘(安服系列)
某一次PDF-XSS漏洞挖掘(安服系列) 原创 漏洞谷 漏洞谷 2024-05-18 11:35 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.漏洞名称 PDF-XSS 二.风险级别 自评:中危 三.漏洞描述 PDF-XS
继续阅读月度归档: 2024 年 5 月
【高危漏洞】网锐捷网络技术有限公司EG3210存在命令执行漏洞
【高危漏洞】网锐捷网络技术有限公司EG3210存在命令执行漏洞 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:网锐捷网络技术有限公司EG3210存在命令执行漏洞 漏洞出现时间:2024年5月18日 影响等级:高危 漏洞说明: 北京星网锐捷网络技术有限公司EG3210存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。 影响版本:
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元
【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读游戏漏洞挖掘端游页游手游逆向课程免费领取
游戏漏洞挖掘端游页游手游逆向课程免费领取 原创 Fighter001 重生者安全 2024-05-18 10:35 0x00 课程介绍 适合人群: 游戏爱好者,网络爱好者,网络工程师,安全工程师,研发工程师 课程目标: 对游戏漏洞挖掘,有一个基础了解,可以动手挖到游戏漏洞,可在游戏中畅游,漏洞提交SRC获取高额奖金; 课程简介: 专注培养网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能
继续阅读用来扫描和验证MS17-010、MS09-050、MS08-067漏洞的工具
用来扫描和验证MS17-010、MS09-050、MS08-067漏洞的工具 abc123info 夜组安全 2024-05-18 10:03 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现
继续阅读记一次某双一流大学漏洞挖掘
记一次某双一流大学漏洞挖掘 黑白之道 2024-05-18 08:43 文章作者:先知社区(七*r) 文章来源:https://xz.aliyun.com/t/14456 1► 前言 本次项目测试的平台是某方开发的某某服务平台,算是个小0day或者说是1day吧,总之尚未公开且资产较少,因此记录一下。 2► 信息收集 识别链接发现是某方的xx服务平台 端口扫描仅开放80、443 无奈,只能搜一搜有
继续阅读自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx
自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx Mr.x 黑客白帽子 2024-05-18 08:31 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 🌟简介 NucleiScanner是一个强大的自动化工具,用于检测Web应用程序中的未知漏洞。
继续阅读CVE-2024-34220
CVE-2024-34220 A___bandon 漏洞猎人 2024-05-18 08:02 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或
继续阅读漏洞预警 | 联软安全数据交换系统任意文件读取漏洞
漏洞预警 | 联软安全数据交换系统任意文件读取漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 联软安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、
继续阅读漏洞预警 | User Meta敏感信息泄露漏洞
漏洞预警 | User Meta敏感信息泄露漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # CVE-2024-33575 0x01 危险等级 – 中危 0x02 漏洞概述 User Meta是一款WordPress前端注册登录与编辑资料插件,允许用户在前端页面进行注册、登录以及编辑个人资料的操作。这款插件还支持额外字段的用户注册,增加了用
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞
漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞
CVE-2024-4367|Mozilla PDF.js代码执行漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区驱动的,并由 Mozilla 支持。我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在
继续阅读CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC)
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读CVE-2024-25641|Cacti 存在多个安全漏洞
CVE-2024-25641|Cacti 存在多个安全漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti是通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。 0x01 漏洞描述 CVE-2024-256
继续阅读关于调用安卓FileProvider组件的移动应用程序存在高危漏洞的风险提示
关于调用安卓FileProvider组件的移动应用程序存在高危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-05-17 21:29 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,多个 调用安卓操作系统 FileProvider 组件的移动互联网应用程序(以下简称 APP )存在路径遍历高危漏洞,可被恶意利用实施网络攻击。 FileProvider
继续阅读详细的漏洞报告是怎样的
详细的漏洞报告是怎样的 裴伟伟 洞源实验室 2024-05-17 20:00 无论是做漏洞研究还是做安全测试,最终都需要以文本的方式将安全漏洞的信息呈现给需要理解漏洞的人,这个人可能是漏洞相关产品所在机构的审核人员,也可能是漏洞所属产品的研发人员,或者是产品经理之类的决策或管理人员。 一份详细且恰当的漏洞报告可以减少漏洞发现者或提交者与上述人员之间的沟通成本,尤其是描述复杂的漏洞。而现实中阅读漏洞
继续阅读Weblogic T3协议反序列化漏洞分析(上)
Weblogic T3协议反序列化漏洞分析(上) 原创 Sec0re 源鲁安全实验室 2024-05-17 19:42 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x01 前言 在初入安全的时候,就听说过weblogic的大名,当然听说的并不是 weblogic如何如何好用,而是因为其漏洞
继续阅读漏洞复现 || Palo Alto Networks PAN-OS GlobalProtect 命令注入
漏洞复现 || Palo Alto Networks PAN-OS GlobalProtect 命令注入 韩文庚 我爱林 2024-05-17 19:19 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成
继续阅读【安全圈】新的 Wi-Fi 漏洞通过降级攻击进行网络窃听
【安全圈】新的 Wi-Fi 漏洞通过降级攻击进行网络窃听 安全圈 2024-05-17 19:00 关键词 网络窃听 据英国TOP10VPN的一份最新研究报告指出,一种基于 IEEE 802.11 Wi-Fi 标准中的设计缺陷能够允许攻击者诱导用户连接至不安全的网络,进而对用户进行网络窃听。 报告指出,该缺陷是基于CVE-2023-52424 SSID 混淆攻击的漏洞利用,涉及所有操作系统和 Wi
继续阅读内容更新:沙箱及绕过-人气讲师带你揭秘Chrome V8漏洞利用
内容更新:沙箱及绕过-人气讲师带你揭秘Chrome V8漏洞利用 小雪 看雪学苑 2024-05-17 18:06 近日更新: 视频:3-1 沙箱基础 视频:3-2 沙箱内任意地址读写 视频:3-3 立即数写 shellcode 浏览器漏洞利用一直是备受关注的热点话题。浏览器作为用户与互联网进行交互的主要工具,也是黑客攻击的重要目标之一。当浏览器存在漏洞时,黑客可以利用这些漏洞进行恶意攻击,例如窃
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞
【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读WiFi 标准中存在漏洞 可导致 SSID 混淆攻击
WiFi 标准中存在漏洞 可导致 SSID 混淆攻击 Jai Vijayan 代码卫士 2024-05-17 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 比利时鲁汶大学的研究人员在 IEEE 802.11 WiFi 标准中发现了一个设计缺陷,可导致攻击者诱骗受害者连接到安全性弱的无线网络而非原来的预期网络。 VPN 审计网站 Top10VPN 和鲁汶大学的研究人员提到,这类攻
继续阅读【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642)
【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: 由于HTTP302重定向处理不当,ԝаndb/ԝаndb存储库中存在服务端请求伪造(SSRF)漏洞,此问题允许有权访问’Uѕеr ѕеttinɡѕ->Wеbhооkѕ’函数的团队成员利用该漏洞访问内部HTTP(ѕ)服务器,在严重
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848)
【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读【漏洞预警】SiAdmin多个SQL注入漏洞
【漏洞预警】SiAdmin多个SQL注入漏洞 cexlife 飓风网络安全 2024-05-17 17:02 1.CVE-2024-4991漏洞描述:SiAdmin 1.1中的漏洞允许通过nаmа_lеnɡkар中的/mоdul/mоd_раѕѕ/аkѕi_раѕѕt.рhр参数进行SQL注入,此漏洞可能允许远程攻击者向系统发送特制的SQL查询并检索存储在其中的所有信息影响产品:SiAdmin==
继续阅读【漏洞预警】FE业务协作平台存在文件上传漏洞
【漏洞预警】FE业务协作平台存在文件上传漏洞 cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: FE业务协同平台是用友在行业内不断创新和突破的一款基于平台的协同办公软件,/common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意文件上传,攻击者通过上传恶意jsp脚本文件,可以执行服务器上的任意代码,从而获得服务器的进一步控制权。影响范围:FE业务
继续阅读微软2024年5月补丁日重点漏洞安全预警
微软2024年5月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-05-17 15:27 补丁概述 2024 年 5 月 14 日,微软官方发布了 5 月安全更新,针对 62 个 Microsoft CVE 和 12 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 1 个严重漏洞(Critical)、59 个重要漏洞(Imp
继续阅读浙江大学 | V-SZZ:自动识别受CVE漏洞影响的版本范围
浙江大学 | V-SZZ:自动识别受CVE漏洞影响的版本范围 原创 octopus 安全学术圈 2024-05-17 15:02 原文标题:V-SZZ: Automatic Identification of Version Ranges Affected by CVE Vulnerabilities原作者:Lingfeng Bao,Xin Xia*,Ahmed E. Hassan,Xiaohu
继续阅读严重的 Git 漏洞!CVE-2024-32002允许在“克隆”操作期间远程执行代码
严重的 Git 漏洞!CVE-2024-32002允许在“克隆”操作期间远程执行代码 安全客 安全客 2024-05-17 14:15 新版本的 Git 已发布,修复了五个漏洞,其中最关键的漏洞 (CVE-2024-32002) 可被攻击者用来在“克隆”操作期间远程执行代码。 关于 GitGit是一种广泛流行的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Li
继续阅读价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览
价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览 安全牛 2024-05-17 12:02 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ国家网信办发布第十五批境内区块链信息服务备案清单 ㆍCNNVD通报微软多个安全漏洞 ㆍAndroid 和iOS将在新版本中引入反跟踪功能 ㆍ美国联邦首席安全官Chris DeRusha将离职,曾参与多项政府行政命令的制定
继续阅读