小米汽车安全漏洞奖励计划正式启动!
小米汽车安全漏洞奖励计划正式启动! 小米安全中心 小米安全中心 2024-05-17 11:53 随着小米SU7的正式上市和交付,小米汽车开始走入千家万户,成为大家日常生活的一部分。小米SU7以其卓越的性能和优雅的设计赢得了广大用户的喜爱和赞誉,标志着小米在汽车领域迈出了重要的一步。 一直以来,小米都将保护用户的信息安全和隐私放在首位,在小米汽车上更是如此。小米SU7在设计之初就全面和深入地考虑了
继续阅读月度归档: 2024 年 5 月
由LFI所导致的RCE
由LFI所导致的RCE nullsub 迪哥讲事 2024-05-16 20:30 正文 创建博客/文章/文件功能出现问题。 原请求: POST /blog/new/ HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: t
继续阅读【漏洞通告】Cacti 远程代码执行漏洞CVE-2024-25641
【漏洞通告】Cacti 远程代码执行漏洞CVE-2024-25641 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-16 17:31 漏洞名称: Cacti 远程代码执行漏洞 组件名称: Cacti 影响范围: Cacti < 1.2.27 漏洞类型: 代码注入 利用条件: 1、用户认证:是 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>
继续阅读攻击者正在利用Foxit PDF Reader漏洞传播恶意软件
攻击者正在利用Foxit PDF Reader漏洞传播恶意软件 安全客 安全客 2024-05-16 16:38 Check Point Research 发现 PDF 漏洞正在广泛传播,主要针对 Foxit Reader 用户。通过触发安全警告,毫无戒心的用户可能会被欺骗执行有害命令。 许多攻击者已经在利用该漏洞,该漏洞利用了“福昕阅读器(Foxit Reader)中警告消息的设计缺陷”。 尽管
继续阅读【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告 奇安信 CERT 2024-05-16 15:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8类型混淆漏洞 漏洞编号 QVD-2024-18433,CVE-2024-4947 公开时间 2024-05-15 影响量级 千万
继续阅读谷歌紧急修复周内第3个已遭利用的0day
谷歌紧急修复周内第3个已遭利用的0day Sergiu Gatlan 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。 谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Ma
继续阅读VMware 修复Workstation 和 Fusion 产品中的多个漏洞
VMware 修复Workstation 和 Fusion 产品中的多个漏洞 THN 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware Workstation 和 Fusion 产品中存在多个漏洞,可被威胁行动者用于访问敏感信息、触发拒绝服务条件并在某些条件下执行代码。 这四个漏洞影响 Workstation 17.x 和 Fusion
继续阅读漏洞挖掘|一次在线商城漏洞挖掘
漏洞挖掘|一次在线商城漏洞挖掘 迪哥讲事 2024-05-15 20:30 点击下方名片即可关注,只更高质量文章**** 0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集(灯塔停止维护了、此处默哀2
继续阅读2024-05微软漏洞通告
2024-05微软漏洞通告 火绒安全 火绒安全 2024-05-15 19:01 微软官方发布了2024年05月的安全更新。本月更新公布了68个漏洞,包含27个远程执行代码漏洞、17个特权提升漏洞、7个信息泄露漏洞、5个身份假冒漏洞、3个拒绝服务漏洞、2个安全功能绕过漏洞、1个篡改漏洞,其中1个漏洞级别为“Critical”(高危),59个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读微软五月补丁星期二值得关注的3个0day及其它
微软五月补丁星期二值得关注的3个0day及其它 综合编译 代码卫士 2024-05-15 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 五月补丁星期二,微软共计修复59个CVE漏洞,加上第三方CVE漏洞,则五月共修复63个漏洞。和四月补丁日一致,微软仍未修复Pwn2Own 大赛上披露的多个漏洞。在所修复的漏洞中,只有1个被评级为“严重”等级,57个是“重要”级别,1个是“中危”
继续阅读新漏洞太多让美国NVD面临崩溃,还可能引发供应链风
新漏洞太多让美国NVD面临崩溃,还可能引发供应链风 关键基础设施安全应急响应中心 2024-05-15 14:59 美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在,专家警告说,巨大的积压和持续的问题可能导致关键部门的供应链风险。 简单地说:国家漏洞数据库出了问题,而且没有一个有效的解决办法。 为了解决NVD的问题,就必须解决另外一个关键问题,Cyber Th
继续阅读微软Outlook通杀0Day漏洞:黑客开价1,700,000美元
微软Outlook通杀0Day漏洞:黑客开价1,700,000美元 关键基础设施安全应急响应中心 2024-05-15 14:59 一个名为“Cvsp”的威胁参与者宣布出售所谓的Outlook远程代码执行 (RCE) 0day漏洞。这一所谓的漏洞旨在攻击跨x86和x64架构的各种Microsoft Office版本(2016、2019、LTSC 2021、365 Apps for Enterpri
继续阅读360安全大模型实战笔记:核弹级漏洞,拿捏!
360安全大模型实战笔记:核弹级漏洞,拿捏! 360数字安全 2024-05-15 14:50 ✦ • ✦ “在野0day漏洞,是核弹级别的网络武器,这种存在于文档中的0day更是隐蔽、罕见。一枚0day漏洞甚至卖出百万甚至到千万美金的高价,所以普通的小黑客用不起,用它的都是具备强大资源背景的国家级黑客组织。” 近日,360安全大模型成功捕获一起国家级黑客利用0day漏洞发起的攻击事件,为相关单位
继续阅读微软2024年5月补丁日多个产品安全漏洞风险通告
微软2024年5月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-05-15 09:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年5月补丁日多个产品安全漏洞 影响产品 Microsoft Office Excel、.NET 和 Visual Studio、Windows Win32K等。 公开时间 2024-5-15 影响对象数量级 千万级 奇
继续阅读联软安全数据摆渡系统任意文件读取漏洞|漏洞预警
联软安全数据摆渡系统任意文件读取漏洞|漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-05-14 00:01 0x01 产品简介 联软安全数据摆渡系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、共享/分享、存储的理想安全设备,具有开创性意义。 这里我推荐
继续阅读【漏洞预警】dataease身份认证绕过漏洞(CVE-2024-31441)
【漏洞预警】dataease身份认证绕过漏洞(CVE-2024-31441) cexlife 飓风网络安全 2024-05-13 23:41 漏洞描述: DаtаEаѕе是一款开源的数据可视化分析工具,由于对CliсkHоuѕе数据源的连接参数缺少限制,可能利用某些恶意参数实现任意文件读取,该漏洞已在v1.1819中修复. 影响产品: dataease==<1.18.19 修复方案:Dаtа
继续阅读TunnelVision漏洞曝光,几乎可监听所有VPN
TunnelVision漏洞曝光,几乎可监听所有VPN FreeBuf 商密君 2024-05-13 23:09 近日,安全企业Leviathan Security Group披露了一个名为TunnelVision的安全漏洞,它可将用户的VPN流量外泄给位于同一局域网络上的黑客,该漏洞被追踪为CVE-2024-3661。 根据研究人员的说明,TunnelVision是一种可绕过VPN封装的新型网络
继续阅读通过JavaScript进行漏洞挖掘思路
通过JavaScript进行漏洞挖掘思路 原创 【白】 白安全组 2024-05-13 17:51 本文针对js漏洞挖掘,其实从JavaScript中挖掘,也就是在js中挖掘敏感的接口漏洞,我们一共需要两个步骤,一个是通过工具进行js搜集,第二步就要利用工具进行js中敏感接口提取。 首先我们需要针对js进行一个搜集 1、URLFinder搜集js目录 这里使用我使用windows版本进行测试 测试
继续阅读卡巴斯基:2024年Q1漏洞和利用报告
卡巴斯基:2024年Q1漏洞和利用报告 原创 晶颜123 FreeBuf播客电台 2024-05-13 17:39 作者 | 晶颜123 编 | 疯狂冰淇淋 近日,卡巴斯基发布了《2024年Q1漏洞和利用报告》,提供了一系列有洞察力的统计和分析快照,揭示了新漏洞和利用的发展趋势,以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。 | 已注册漏洞统计数据**** | 为了便于
继续阅读上周关注度较高的产品安全漏洞(20240429-20240512)
上周关注度较高的产品安全漏洞(20240429-20240512) CNVD漏洞平台 2024-05-13 17:16 一、境外厂商产品 漏洞 1、F5 BIG-IP Next Central Manager中间人攻击漏洞(CNVD-2024-22213) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Cen
继续阅读50000多个小型代理服务器容易受到关键的RCE缺陷的影响
50000多个小型代理服务器容易受到关键的RCE缺陷的影响 网络安全应急技术国家工程中心 2024-05-13 15:51 最近披露的一个关键远程代码执行 (RCE) 缺陷显示,近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。 Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器,旨在快速、小型和轻量级。它专为类 UNIX
继续阅读雷神众测漏洞周报2024.05.06-2024.05.12
雷神众测漏洞周报2024.05.06-2024.05.12 原创 雷神众测 雷神众测 2024-05-13 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露
【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露 我吃饼干 2024-05-13 07:30 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。
继续阅读漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞
漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞 浅安 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # CVE-2024-4257 0x01 危险等级 – 高危 0x02 漏洞概述 蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。 0x03 漏洞详情 CVE-2024-
继续阅读漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞
漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞 原创 lalone 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 瑞
继续阅读那些被遗漏的逻辑漏洞|挖洞技巧
那些被遗漏的逻辑漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-05-13 00:00 0x01 前言 这类漏洞虽然在红蓝对抗不值钱,但在src中却是一个高危,因为会给企业和用户带来很多隐患,此类漏洞会造成任意用户注册/登录,导致黑灰产恶意注册产生僵尸号,薅取大量活动礼品并且造成用户信息泄露等。 谈到该漏洞,大家应该会想到诸如:验证码复用、爆破、泄露、cookie,注册链接可预测等,
继续阅读Chrome又现在野0day漏洞,需要升级浏览器
Chrome又现在野0day漏洞,需要升级浏览器 原创 摸鱼的小A 重生之成为赛博女保安 2024-05-12 23:59 好吧,我还没升级,不过这素有原因哒。 如果有和我一样还在使用chromedriver又对主浏览器安全性有要求的朋友,可以改用chromium。 . . . * . * ☄️ . * . * . 🔆 .* . * . 🧶 * . * . . . 信息来源:theHack
继续阅读优卡特脸爱云管理系统存在文件上传漏洞(5月9日更新)
优卡特脸爱云管理系统存在文件上传漏洞(5月9日更新) jidle123 网络安全者 2024-05-12 22:14 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x
继续阅读H3C两个漏洞的划水
H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读【安全圈】修复今年第 5 个被黑客利用的零日漏洞,谷歌发布 Chrome 浏览器更新
【安全圈】修复今年第 5 个被黑客利用的零日漏洞,谷歌发布 Chrome 浏览器更新 安全圈 2024-05-12 19:00 关键词 漏洞 谷歌 Chrome 和微软 Edge 两款浏览器近日发布紧急版本更新,修复了 CVE-2024-4671 安全漏洞,这是今年被证明已被黑客利用的第 5 个零日漏洞。 该高危漏洞追踪编号为 CVE-2024-4671,存在于 Visuals 组件中,是一个 &
继续阅读