主动利用WordPress插件中未经认证的存储XSS漏洞
主动利用WordPress插件中未经认证的存储XSS漏洞 HackSee安全团队 HackSee 2024-06-01 17:23 我们观察到针对CVE-2024-2194、CVE-2023-6961和CVE-2023-40000这三种高级别cve的主动攻击尝试。这些漏洞存在于各种WordPress插件中,由于输入清理和输出转义不足,容易受到未经身份验证的存储跨站点脚本(XSS)攻击,使攻击者有可
继续阅读月度归档: 2024 年 6 月
「冷漠安全」五月份0day/1day/nday漏洞汇总
「冷漠安全」五月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-06-01 17:08 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读Web漏洞扫描神器-Arachni安装及使用
Web漏洞扫描神器-Arachni安装及使用 原创 大表哥吆 kali笔记 2024-06-01 15:54 arachni是一款开源的非常好用的漏洞扫描工具。它是一个包含很多特性、模块化的、高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、开源的,它支持所有主流操作系统,如:Windows、Mac OS X 、Linux,通过便携式可移植包的
继续阅读漏洞预警 | 用友NC linkVoucher SQL注入漏洞
漏洞预警 | 用友NC linkVoucher SQL注入漏洞 Enomothem Eonian Sharp 2024-06-01 12:45 产品介绍 用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。这一系列产品基于全球最新的互联网技术、云计算技术和移动应用技术,旨在帮助企业创新管理模式、引领商业变革。 漏洞威胁 用友NC /portal/pt/yercommon/li
继续阅读反转 Windows RPC 以查找 CVE(CVE-2024-36036、CVE-2024-36037)
反转 Windows RPC 以查找 CVE(CVE-2024-36036、CVE-2024-36037) Ots安全 2024-06-01 12:34 总结 这项研究由三部分组成,涵盖不同的领域,即开发自定义 RPC 客户端、逆向工程和一些加密技术。 当这项研究开始时,目标实际上是找到一种利用旧 CVE 的新方法,然而深入研究产品后出现了一个新的兔子洞,从而导致了一个新的漏洞。 本部分研究解释了
继续阅读Apache ActiveMQ 漏洞导致隐秘 哥斯拉 Webshell
Apache ActiveMQ 漏洞导致隐秘 哥斯拉 Webshell Ots安全 2024-06-01 12:34 Trustwave 发现利用 Apache ActiveMQ 主机漏洞的攻击数量激增。在某些情况下,这些主机会托管恶意 Java Server Pages (JSP) Web Shell。 这些 Web Shell 隐藏在未知的二进制格式中,旨在逃避安全和基于签名的扫描程序。值
继续阅读CVE-2024-5035 TP-Link Archer C5400X RCE 漏洞分析
CVE-2024-5035 TP-Link Archer C5400X RCE 漏洞分析 3bytes 3072 2024-06-01 12:20 引言 在我们发布二进制零日识别特性之前,我们在固件语料库上对其进行了测试和验证,以确保我们提供的分析结果是有意义的。在此过程中,我们向供应商报告了发现的众多漏洞。在2024年期间,我们希望公开这些漏洞中的大部分,例如在Cisco WAP321中发现的那
继续阅读俄罗斯APT TAG-70利用Roundcube Webmail服务器中的XSS漏洞攻击超80家组织
俄罗斯APT TAG-70利用Roundcube Webmail服务器中的XSS漏洞攻击超80家组织 原创 紫队 紫队安全研究 2024-06-01 12:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标
继续阅读补天校园GROW计划升级了,新增“线上导师分享+漏洞挖掘实战”两大板块!
补天校园GROW计划升级了,新增“线上导师分享+漏洞挖掘实战”两大板块! 补天平台 补天平台 2024-06-01 10:01
继续阅读【漏洞情报】万户OA-text2html-存在任意文件读取漏洞
【漏洞情报】万户OA-text2html-存在任意文件读取漏洞 原创 Sec探索者 Sec探索者 2024-06-01 09:34 点击蓝字,关注Sec探索者,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01**** 漏洞描
继续阅读Hyacinth!一款Java漏洞集合工具
Hyacinth!一款Java漏洞集合工具 黑白之道 2024-06-01 09:19 工具介绍 之前攻防的时候,总是需要打开多个jar包,觉得很麻烦,就做了 一款java漏洞集合工具, 包含Struts2、Fastjson、 Weblogic (xml)、Shiro、Log4j、Jboss、SpringCloud、等漏洞检测利用模块,及免杀webshell生成模块 Bypass 、以及一些小工
继续阅读【漏洞预警】Tongtianxing CMSV6 SQL注入漏洞(CVE-2024-29667)
【漏洞预警】Tongtianxing CMSV6 SQL注入漏洞(CVE-2024-29667) cexlife 飓风网络安全 2024-05-31 23:03 漏洞描述:Tongtianxing CMSV6是Tongtianxing公司的一个基于车辆信息的数据平台。Tongtianxing CMSV6 7.31.0.2至7.31.0.3版本存在SQL注入漏洞,远程攻击者可利用该漏洞通过ids参数
继续阅读【漏洞预警】Spring Boot Online Exam目录遍历漏洞(CVE-2024-29466)
【漏洞预警】Spring Boot Online Exam目录遍历漏洞(CVE-2024-29466) cexlife 飓风网络安全 2024-05-31 23:03 漏洞描述:Spring Boot Online Exam是oretnom23个人开发者的一个在线考试系统,Spring Boot Online Exam 0.9版本存在目录遍历漏洞,攻击者可利用该漏洞通过FileTransUtil.
继续阅读【已复现】Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919)
【已复现】Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919) 安恒研究院 安恒信息CERT 2024-05-31 20:35 漏洞概述 漏洞名称 Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919) 安恒CERT评级 2级 CVSS3.1评分 8.6 CVE编号 CVE-2024-2491
继续阅读2024攻防演练前需要关注的高危漏洞清单
2024攻防演练前需要关注的高危漏洞清单 安恒研究院 安恒信息CERT 2024-05-31 20:35 2024攻防演练期间需 关注的高危漏洞清单 安恒信息CERT NOTICE 盘点 ▶▶▶ 1.前言 当前,在规模较大和重要性较高的网络攻防演练中,对于蓝队(防守方),在演练中遇到红队(攻击方)0day的机会还是相当大的,要在短时间达成演习目的,拿到目标靶机的权限,动用一些先进的武器(0day)
继续阅读【成功复现】Check Point Security Gateways 任意文件读取漏洞(CVE-2024-24919)
【成功复现】Check Point Security Gateways 任意文件读取漏洞(CVE-2024-24919) 原创 弥天安全实验室 弥天安全实验室 2024-05-31 18:32 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Check Point Security Gateways是以色列
继续阅读AI安全警报!英伟达喊你修复漏洞了
AI安全警报!英伟达喊你修复漏洞了 原创 智安全 深信服科技 2024-05-31 18:19 AI的应用越来越广泛,已经渗透到人们工作和生活的方方面面。随之而来的,是AI的安全问题。我每天都在使用的AI助手,可信吗?企业核心业务依赖的AI服务器,安全吗?AI软件的安全性,已经成为了一个复杂且多面的全球性议题。 近日,NVIDIA(英伟达) 官方发布了一则安全风险预警和软件更新公告,公布 NVID
继续阅读【护网必备】Spring综合漏洞的利用工具
【护网必备】Spring综合漏洞的利用工具 charonlight 七芒星实验室 2024-05-31 18:10 背景介绍 复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework
继续阅读NIST披露NVD的漏洞分析恢复计划
NIST披露NVD的漏洞分析恢复计划 Chris Riotta 代码卫士 2024-05-31 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国国家漏洞库 (NVD) 终于要迎来久违的更新。 NVD是由美国联邦政府维护的安全漏洞仓库,不过自今年2月份后由于资助削减,美国国家标准技术研究所 (NIST) 停止对数千个已报送软件和硬件缺陷的分析工作。 本周二晚些时候,NIST 宣
继续阅读【众测挑战赛2402】喜迎六一!AI 大模型全新上线,单个漏洞奖励最高可达8w!
【众测挑战赛2402】喜迎六一!AI 大模型全新上线,单个漏洞奖励最高可达8w! OPPO安全中心 2024-05-31 17:32 噔噔噔噔! OSRC《AI大模型安全漏洞评分标准 V1.0》正式发布啦! 详情请戳:https://security.oppo.com/cn/noticeDetail?notice_only_key=20241715914008786 OSRC正式对外接收AI大模型
继续阅读