警惕隐藏在网络社交媒体中的“猎密者”;CNNVD通报PHP 操作系统命令注入漏洞 | 牛览
警惕隐藏在网络社交媒体中的“猎密者”;CNNVD通报PHP 操作系统命令注入漏洞 | 牛览 安全牛 2024-06-14 12:04 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ警惕隐藏在网络社交媒体中的“猎密者” ㆍCNNVD通报PHP 操作系统命令注入漏洞 ㆍ卡巴斯基在ZkTeco生物扫描识别设备中发现多个安全缺陷 ㆍ一种新的网络钓鱼工具包现身,可使用PWA窃取登录凭证 ㆍ黑客在暗网上
继续阅读月度归档: 2024 年 6 月
没有秘密 || 利用 Veeam CVE-2024-29855
没有秘密 || 利用 Veeam CVE-2024-29855 Ots安全 2024-06-14 11:39 Veeam 发布了针对影响Veeam Recovery Orchestrator 的身份验证绕过漏洞 CVE-2024-29855 的CVSS 9公告,以下是我对此问题的完整分析和利用,虽然问题并不像听起来那么严重(不要惊慌)但我发现这个漏洞的机制有点有趣,并决定发布我的详细分析和利用。
继续阅读Wikimedia/svgtranslate 2.0.1 远程代码执行
Wikimedia/svgtranslate 2.0.1 远程代码执行 Ots安全 2024-06-14 11:39 系统概述 SVGTranslate由维基媒体开发,将SVG文件转换为PNG图像,同时允许在SVG内容中进行基于语言的文本替换。此 PHP 后端应用程序的结构通过 ApiController.php 和 Renderer.php 管理功能。源代码托管在 SVGTranslate 的
继续阅读CVE-2024-28995(SolarWinds Serv-U 中的路径遍历 – 概念验证
CVE-2024-28995(SolarWinds Serv-U 中的路径遍历 – 概念验证 Ots安全 2024-06-14 11:39 技术分析 概述 2024 年 6 月 5 日,SolarWinds 发布了一份针对 CVE-2024-28995 的公告,这是一个影响其文件传输解决方案 Serv-U 的高严重性目录遍历漏洞。该漏洞是由Web Immunify的研究员Hussein
继续阅读什么是基于风险的漏洞管理RBVM及其优势
什么是基于风险的漏洞管理RBVM及其优势 原创 xiejava fullbug 2024-06-14 11:30 一、什么是漏洞管理 安全漏洞是网络或网络资产的结构、功能或实现中的任何缺陷或弱点,黑客可以利用这些缺陷或弱点发起网络攻击,获得对系统或数据的未经授权的访问,或以其他方式损害组织。常见漏洞的示例包括可能允许某些类型的恶意软件进入网络的防火墙配置错误,或可能允许黑客接管设备的操作系统远程桌
继续阅读建议立即删除!谷歌 EmailGPT 曝零日漏洞
建议立即删除!谷歌 EmailGPT 曝零日漏洞 邑安科技 邑安全 2024-06-14 10:34 更多全球网络安全资讯尽在邑安全 Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序,通过使用 OpenAI 公开提供的人工智能模型,帮助其用户在 Gmail 服务上撰写电子邮件(用户向该服务提供原始数据和上
继续阅读【未公开】悦库企业网盘存在.html SQL注入漏洞
【未公开】悦库企业网盘存在.html SQL注入漏洞 我吃饼干 2024-06-14 10:22 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 使用本文所
继续阅读CVE-2024-37393 漏洞复现
CVE-2024-37393 漏洞复现 原创 fgz AI与网安 2024-06-14 10:22 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SecurEnvoy身份验证-LDAP注入漏洞 02 — 漏洞影响 multi-factor_aut
继续阅读【漏洞复现】电信网关del_file.php存在命令执行
【漏洞复现】电信网关del_file.php存在命令执行 mole5 云鸦安全 2024-06-14 09:48 一、产品描述 电信公网网关是一种由电信运营商提供的服务设施,它连接用户和互联网,充当双方之间的连接桥梁。其核心职能包括执行网络地址转换(NAT)、执行安全审查和保护措施、管理网络流量、进行数据的加密与解密,以及对数据进行压缩和解压,确保用户与互联网之间通信的顺畅和安全。 二、漏洞复现
继续阅读CVE-2024-21893影响Ivanti产品
CVE-2024-21893影响Ivanti产品 云梦安全 2024-06-14 09:33 CVE-2024-21893漏洞在Ivanti Connect Secure、Ivanti Policy Secure及Ivanti Neurons for ZTA产品中的一个严重服务器端请求伪造(SSRF)漏洞。该漏洞允许攻击者在无需认证的情况下,访问某些受限资源。 漏洞概述 CVE-2024-2189
继续阅读【高危漏洞】k8sGPT存在多个漏洞
【高危漏洞】k8sGPT存在多个漏洞 皓月当空w 2024-06-14 09:22 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称: k8sGPT存在多个漏洞 漏洞出现时间:2024年6月14日 影响等级:高危 漏洞说明: 在k8sGPT中发现的漏洞总数。已在发布中修复https://github.com/k8sgpt-ai/k8sgpt/releases/tag/v0.3.3
继续阅读修复了Fortinet FortiOS中的多个漏洞
修复了Fortinet FortiOS中的多个漏洞 鹏鹏同学 黑猫安全 2024-06-14 09:15 Fortinet解决了FortiOS和其他产品中的多个漏洞,包括一些代码执行漏洞。公司表示,FortiOS命令行解释器中存在的多个基于栈的缓冲区溢出漏洞(CWE-121),统称为CVE-2024-23110(CVSS评分为7.4),可以被经过身份验证的攻击者利用,通过特制的命令行参数实现代码或
继续阅读Google修复了Pixel固件中一个正在被积极利用的零日漏洞
Google修复了Pixel固件中一个正在被积极利用的零日漏洞 鹏鹏同学 黑猫安全 2024-06-14 09:15 Google警告称,Pixel固件中存在一个权限提升漏洞,编号为CVE-2024-32896,该漏洞已作为零日漏洞在野外被利用。公告中提到:“有迹象表明,CVE-2024-32896可能正在被有限、定向地利用。” 正如往常一样,这家IT巨头并未提供有关利用上述问题的攻击的技术信息。
继续阅读车机控车流程分析和漏洞挖掘
车机控车流程分析和漏洞挖掘 GRCC IoVSecurity 2024-06-14 09:14 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资合作群… 相关文章 AI用于软件安全和漏洞挖掘车联网-站在研发视角挖漏洞 – 小米逆向
继续阅读再度蝉联!安恒信息荣获四个CNNVD接报漏洞奖
再度蝉联!安恒信息荣获四个CNNVD接报漏洞奖 安恒信息 2024-06-14 09:03 2023年度(第二期)接报漏洞奖励评选 近期,CNNVD开展了2023年度(第二期)接报漏洞奖励评选工作,其中15个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获得荣誉奖励。其中安恒信息依托前沿的漏洞发现预警能力与风险处置水平,荣获一个一级贡献奖、三个二级贡献奖,并成为了本期榜单中获奖数量最多
继续阅读「漏洞复现」海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞(CVE-2024-29275)
「漏洞复现」海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞(CVE-2024-29275) 冷漠安全 冷漠安全 2024-06-14 09:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读CVE-2024-28995|SolarWinds Serv-U任意文件下载漏洞(POC)
CVE-2024-28995|SolarWinds Serv-U任意文件下载漏洞(POC) alicy 信安百科 2024-06-14 09:00 0x00 前言 SolarWinds Serv-U FTP Server是美国SolarWinds公司的一套FTP和MFT文件传输软件。 ServU FTP Server官方版是专为中小型企业设计的安全文件传输解决方案。ServU文件服务器支持多种协议
继续阅读CVE-2024-23692|Rejetto HFS 2.x 远程代码执行漏洞(POC)
CVE-2024-23692|Rejetto HFS 2.x 远程代码执行漏洞(POC) alicy 信安百科 2024-06-14 09:00 0x00 前言 HFS(HTTP File Server)是一个基于HTTP协议的文件服务器软件,允许用户通过浏览器访问和共享计算机上的文件。HFS的起源可以追溯到2002年,由Rejetto开发并发布。 HFS的主要特点包括界面简洁直观、易于安装和配置
继续阅读SLMS智能照明控制系统SQL注入漏洞
SLMS智能照明控制系统SQL注入漏洞 NT-V NightmareV 2024-06-13 23:26 声明: 请勿使用本文档提供的相关 操作及工具 开展任何违法犯罪活动 。 本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!! 一、 漏洞名称 SLMS智能照明控制系统SQL注入漏洞 二、 产品介绍 智能照明控制系统是利用先进电磁 调压 及电子感应技术,改善 照明电路 中
继续阅读【新】用友NC-oacoSchedulerEvents-SQL注入漏洞复现
【新】用友NC-oacoSchedulerEvents-SQL注入漏洞复现 小白菜安全 小白菜安全 2024-06-13 22:57 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。
继续阅读【漏洞预警】Whoogle Search文件写入漏洞(CVE-2024-22204)
【漏洞预警】Whoogle Search文件写入漏洞(CVE-2024-22204) cexlife 飓风网络安全 2024-06-13 22:32 漏洞描述:Whoogle Search是一个应用软件,自托管,没有广告,privacy-respecting元搜索引擎Whoogle Search0.8.3及之前版本存在文件写入漏洞,该漏洞源于app/routes.py中的config功能未正确验证
继续阅读Rejetto HTTP File Server 存在远程命令执行漏洞CVE-2024-23692 附POC
Rejetto HTTP File Server 存在远程命令执行漏洞CVE-2024-23692 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-13 20:51 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Reje
继续阅读漏洞复现 | Rejetto HTTP 文件服务器未经身份验证的 RCE【附poc】
漏洞复现 | Rejetto HTTP 文件服务器未经身份验证的 RCE【附poc】 原创 实战安全研究 实战安全研究 2024-06-13 20:18 免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关,本次测试仅供学习使用。
继续阅读【安全圈】白帽报告苹果 Vision Pro 特有漏洞,或可导致空间计算黑客攻击
【安全圈】白帽报告苹果 Vision Pro 特有漏洞,或可导致空间计算黑客攻击 安全圈 2024-06-13 19:00 关键词 网络安全 苹果公司周一将 Vision Pro 虚拟现实头盔的操作系统 visionOS 更新到 1.2 版本,该版本修复了多个漏洞,其中包括可能是该产品特有的第一个安全漏洞,编号为 CVE-2024-27812。 visionOS 1.2 此次更新修复了近二十多个漏
继续阅读HTTP File Server RCE一键利用工具,大量资产未修复!
HTTP File Server RCE一键利用工具,大量资产未修复! 原创 深潜sec安全团队 深潜sec安全团队 2024-06-13 18:30 前言 HFS 是一款有着 20 年历史的老牌文件分享工具,全称 Http File Server,它会在你的电脑上启动一个文件服务器,通过浏览器就能方便的下载文件,非常简单易用。开发者近半年以来完全重建了代码,并启用了 HFS 3 这个新名字,带来
继续阅读2024-06微软漏洞通告
2024-06微软漏洞通告 火绒安全 火绒安全 2024-06-13 18:13 微软官方发布了2024年06月的安全更新。本月更新公布了58个漏洞,包含25个特权提升漏洞、18个远程执行代码漏洞、5个拒绝服务漏洞、3个信息泄露漏洞,其中1个漏洞级别为“Critical”(高危),50个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。 涉及组件
继续阅读不止一家全球知名半导体公司出现新漏洞
不止一家全球知名半导体公司出现新漏洞 信息安全大事件 2024-06-13 18:11 总部位于英国的Arm周五警告称,其 Mali GPU 内核驱动程序(一种帮助操作系统与 Mali 图形处理器进行通信的软件)中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610,可能导致“不当的 GPU 内存处理操作”,从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示,
继续阅读CNNVD | 关于PHP操作系统命令注入漏洞的通报
CNNVD | 关于PHP操作系统命令注入漏洞的通报 中国信息安全 2024-06-13 18:02 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入
继续阅读ARM Mali GPU驱动程序中的零日漏洞正被利用
ARM Mali GPU驱动程序中的零日漏洞正被利用 看雪学苑 看雪学苑 2024-06-13 18:02 前不久芯片巨头Arm披露了一个正被在野利用的零日漏洞(CVE-2024-4610),该漏洞影响广泛使用的Mali GPU内核驱动程序,可能使众多设备面临恶意攻击风险。 Mali GPU在移动世界中无处不在,主要应用于基于ARM体系结构的各种智能手机、平板电脑及其他移动设备上,为所有嵌入式图形
继续阅读谷歌:Pixel 固件0day漏洞已遭活跃利用
谷歌:Pixel 固件0day漏洞已遭活跃利用 SERGIU GATLAN 代码卫士 2024-06-13 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌修复了 Pixel 设备中的50个漏洞并提醒称,其中一个漏洞在0day 状态时已遭利用,编号是CVE-2024-32896。 该漏洞是位于 Pixel 固件中的提权漏洞,属于高危级别。谷歌在本周二提到,“有迹象表明CVE-
继续阅读