苹果修复可导致窃听的 AirPods 蓝牙漏洞
苹果修复可导致窃听的 AirPods 蓝牙漏洞 THN 代码卫士 2024-06-27 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 AirPods 发布固件更新,修复了其中的认证漏洞 (CVE-2024-27867)。该漏洞可导致恶意人员以越权方式获得对耳机的访问权限。 该漏洞影响 AirPods(第2代及后续版本)、AirPods Pro(所有机型)、AirPods
继续阅读月度归档: 2024 年 6 月
美国拟投资3.6亿元,研发医疗设备漏洞管理方案
美国拟投资3.6亿元,研发医疗设备漏洞管理方案 安全内参 2024-06-27 16:39 关注我们 带你读懂网络安全 UPGRADE计划是美国卫生高级研究计划局推出的资助项目,旨在实现医疗设备网络安全自动化,让医护人员可以专注于病患护理。 前情回顾·医疗器械网络安全动态 – 权威指南:老旧医疗设备网络安全该怎么做? 美国修订法律:医疗器械上市需自证网络安全,否则不予通过 美国食品和药
继续阅读【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新
【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新 奇安信 CERT 2024-06-27 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1
继续阅读FastJson-RCE (CVE-2017-18349) 漏洞复现
FastJson-RCE (CVE-2017-18349) 漏洞复现 原创 F0R 朱厌安全 2024-06-26 23:51 0X01 环境搭建 Java环境:JDK 8 物理机环境:Windows 11 Tomcat版本:8.5.0 Maven版本:3.9.8 IDEA版本:最新版本 漏洞验证工具:burpsuite2024版本、JNDIExploit-1.4-SNAPSHOT.jar (工
继续阅读Apple 修补了可能允许窃听的 AirPods 蓝牙漏洞
Apple 修补了可能允许窃听的 AirPods 蓝牙漏洞 信息安全大事件 2024-06-26 21:19 Apple 发布了 AirPods的固件更新,可能允许恶意行为者以未经授权的方式访问耳机。 该身份验证问题被跟踪为 CVE-2024-27867,会影响 AirPods(第 2 代及后续机型)、AirPods Pro(所有型号)、AirPods Max、Powerbeats Pro 和 B
继续阅读一次报错所引发的五千漏洞赏金记录
一次报错所引发的五千漏洞赏金记录 迪哥讲事 2024-06-26 20:31 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organization 状态码返回3
继续阅读【漏洞通告】Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806)
【漏洞通告】Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-26 19:36 漏洞名称: Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 组件名称: MOVEit Transfer 影响范围: 2023.0.0 ≤ MOVEit Transfer <
继续阅读学习干货|保姆式实战等保测评Linux镜像(邀请码+综合全流程+未公开漏洞)
学习干货|保姆式实战等保测评Linux镜像(邀请码+综合全流程+未公开漏洞) 原创 爱州 州弟学安全 2024-06-26 19:00 0x01 前言 在之前,我们对等保测评的自查理论步骤做出来总结,分为上中下三篇文章,后期应多位师傅的要求,又自作了Windows等保测评镜像,对各步骤进行了模块化梳理,此次我们对Linux进行复现,依旧是对各模块步骤梳理,主要是为了加深印象,关于既往文章点以下名片
继续阅读马里兰大学 | 漏洞可利用性预测
马里兰大学 | 漏洞可利用性预测 原创 MJXV 安全学术圈 2024-06-26 17:58 原文标题:Expected Exploitability: Predicting the Development of Functional Vulnerability Exploits原文作者:Octavian Suciu, Connor Nelson†, Zhuoer Lyu†, Tiffany B
继续阅读MOVEit Transfer 软件中存在高危的认证不当漏洞
MOVEit Transfer 软件中存在高危的认证不当漏洞 THN 代码卫士 2024-06-26 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Progress Software 公司的MOVEit Transfer 软件中存在一个高危漏洞 (CVE-2024-5806),可导致攻击者绕过该平台的认证机制。就在被披露的数小时后,该漏洞已遭利用。 MOVEit Transfe
继续阅读Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告
Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告 奇安信 CERT 2024-06-26 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Progress MOVEit Transfer身份认证绕过漏洞 漏洞编号 QVD-2024-24490,CVE-2024-5806 公开时间 2024-06-25 影响量
继续阅读漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程
漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程 迪哥讲事 2024-06-25 23:11 0x01 前言 作为一个职业又非职业性的漏洞挖掘者,除工作内做渗透和挖洞,其它挖洞基本上都是为了写公众号,并没有很专注的去了解职业SRC,清晰的记得有一次,挖到的一个在线商城漏洞,根据特征找到了存活站点一千多个,独立IP几百个,上交CNVD或一些广泛收录通用型漏洞的平台也可以换马内,但是我最后还是交了公益,现
继续阅读ctfshow之无字母数字的命令执行
ctfshow之无字母数字的命令执行 原创 vientiane TimeAxis Sec 2024-06-25 23:06 点击蓝字关注我们 无字母数字的命令执行 ctfshow web入门 55 题目: <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Mod
继续阅读【漏洞预警】MailDev 2远程代码执行漏洞(CVE-2024-27448)
【漏洞预警】MailDev 2远程代码执行漏洞(CVE-2024-27448) cexlife 飓风网络安全 2024-06-25 22:25 漏洞描述:MailDev是MailDev开源的一种在开发过程中测试项目生成的电子邮件的简单方法。MailDev2至2.1.0及之前版本存在远程代码执行漏洞,攻击者可利用该漏洞通过邮件附件的特制Content-ID标题导致lib/mailserver.js在
继续阅读【漏洞情报】MetaCRM6存在文件上传漏洞
【漏洞情报】MetaCRM6存在文件上传漏洞 cexlife 飓风网络安全 2024-06-25 22:25 漏洞描述: MetaCRM6是一款客户关系管理系统,etaCRM6存在文件上传漏洞,攻击者可利用漏洞上传恶意文件。官方解决方案:厂商已发布补丁修复漏洞,请广大用户及时下载更新:http://www.metasoft.com.cn/buding.html
继续阅读通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC
通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 通天星CMSV6车载定位监控平台简介 微信
继续阅读真内控国产化开发平台preview接口存在任意文件读取漏洞
真内控国产化开发平台preview接口存在任意文件读取漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 真内控国产化开发平台简介 微信公众号搜索:南风漏洞复现文库
继续阅读【漏洞通告】Apache Kafka UI 远程代码执行漏洞CVE-2024-32030
【漏洞通告】Apache Kafka UI 远程代码执行漏洞CVE-2024-32030 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-25 19:38 漏洞名称: Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030) 组件名称: Apache-Kafka UI 影响范围: Apache Kafka UI ≤ 0.7.1 漏洞类型: 代码注入 利用条件: 1
继续阅读一款简单好用的漏洞管理工具
一款简单好用的漏洞管理工具 P001water 信安404 2024-06-25 19:24 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目介绍 漏洞管理工具 漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮
继续阅读【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc
【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc 原创 xiaocaiji 网安鲲为帝 2024-06-25 19:15 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 文 章 作 者
继续阅读Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告
Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告 奇安信 CERT 2024-06-25 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.1 威胁类
继续阅读Ollama AI 基础设施工具中存在严重的RCE漏洞
Ollama AI 基础设施工具中存在严重的RCE漏洞 THN 代码卫士 2024-06-25 17:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员详细说明了开源人工智能 (AI) 基础设施平台 Ollama 中存在的一个现已修复的远程代码执行漏洞 (CVE-2024-37032)。 该漏洞被云安全公司 Wiz 称为 “Probllama”,由研究员在2024年5月5日
继续阅读雷神众测漏洞周报2024.06.17-2024.06.23
雷神众测漏洞周报2024.06.17-2024.06.23 原创 雷神众测 雷神众测 2024-06-25 15:29 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读15款热门企业级漏洞管理系统可用性分析
15款热门企业级漏洞管理系统可用性分析 安全牛 2024-06-25 13:49 提起漏洞管理,很多人都会想到漏洞扫描器。然而事实上,漏洞扫描只是为了识别发现系统中存在的安全漏洞。而漏洞管理需要包含整个漏洞防护的全生命周期,在有效识别漏洞的基础上,进一步评估、排序和处置修复所发现的各种安全性缺陷。 开展全面且持续的漏洞管理工作,对于企业组织改善数字化应用安全状况,降低潜在风险,并保持数字资产的完整
继续阅读上周关注度较高的产品安全漏洞(20240617-20240623)
上周关注度较高的产品安全漏洞(20240617-20240623) 国家互联网应急中心CNCERT 2024-06-25 10:39 一、境外厂商产品漏洞 1 、Google Chrome代码执行漏洞(CNVD-2024-27330) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 126.0.6478.54之前版本存在代码执行漏洞,攻击者可
继续阅读XWiki DatabaseSearch 存在远程命令执行漏洞CVE-2024-31982 附POC
XWiki DatabaseSearch 存在远程命令执行漏洞CVE-2024-31982 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-24 22:59 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. XWiki Da
继续阅读New | CVE-2024-26229 Windows 提权漏洞(附EXP)
New | CVE-2024-26229 Windows 提权漏洞(附EXP) TtTeam EchoSec 2024-06-24 22:41 文章来源:TtTeam Windows CSC服务特权提升漏洞。 当程序向缓冲区写入的数据超出其处理能力时,就会发生基于堆的缓冲区溢出,从而导致多余的数据溢出到相邻的内存区域。这种溢出会损坏内存,并可能使攻击者能够执行任意代码或未经授权访问系统。本质上,攻
继续阅读【漏洞预警】Apache Kafka UI 需授权 反序列化漏洞CVE-2024-32030
【漏洞预警】Apache Kafka UI 需授权 反序列化漏洞CVE-2024-32030 cexlife 飓风网络安全 2024-06-24 22:38 漏洞描述: Apache Kafka UI 0.7.2之前版本存在安全漏洞,该漏洞源于容易受到反序列化攻击,可能导致身份验证后远程代码执行,值得注意的是默认情况下Apache Kafka UI并没有启用身份验证。 修复建议:厂商已发布补丁修复
继续阅读开机,关机。chatGPT RCE
开机,关机。chatGPT RCE 渗透安全团队 2024-06-24 21:47 ★ 付费圈子 欢 迎 加 入 星 球 ! 代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员 进成员内部群 星球的最近主题和星球内部工具一些展示**** 加入安全交流群 关 注 有 礼 关注下方公众号回复“ 666 ”可以领取一套领取黑客成长秘籍 还在等什么?赶紧点击下
继续阅读支撑单位遴选|关于开展2024年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知
支撑单位遴选|关于开展2024年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知 FreeBuf 2024-06-24 18:55 各有关单位: 为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》等法律法规,推动网络产品安全漏洞管理工作有序进行,中国软件评测中心(工业和信息化部软件与集成电路促进中心)负责建设和运营工业和信息化部移动互联网APP产品安全漏洞专业
继续阅读