【安全圈】新的 OpenSSH 漏洞可能导致 Linux 系统以 Root 身份进行 RCE 安全圈 2024-07-06 19:01 关键词 系统漏洞 OpenSSH 维护人员发布了安全更新,以修复一个严重的安全漏洞,该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码。 该漏洞代号为 regreSSHion,CVE 标识符为 CVE-2024-63
继续阅读信息安全漏洞月报(2024年6月) CNNVD CNNVD安全动态 2024-07-06 18:16 点击蓝字 关注我们 本期导读 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年6月采集安全漏洞共3075个。 本月接报漏洞1089个,其中信息技术产品漏洞(通用型漏洞)941个,网络信息系统漏洞(事件型漏洞)148个。漏洞平台推送漏洞27043个。**** 重大漏洞通报 PHP 操作
继续阅读需要紧急修补!三菱电机软件存重大漏洞 首席安全官 2024-07-06 18:02 点击上方“ 蓝字”,发现更多精彩。 三菱电机的GENESIS64和MC Works64软件被发现存在多个漏洞,对工业控制系统构成重大的安全风险。 三菱电机的这些漏洞涉及一系列严重问题,包括不受限制的资源分配、不当的数字签名验证以及对文件搜索路径的控制不足。这些弱点可能会导致拒绝服务 (DoS) 攻击和未经授权的程
继续阅读【漏洞实例】某咖啡站点通过IDOR接管6k美元的账户 EnhancerSec 2024-07-06 18:01 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 在浏览某咖啡站点时,我注意到一个页面加载了来自第三方网站的内容。让我们称此网站为example.com ,以免披露。当我在这个网站上做一些研究时,我在
继续阅读【漏洞复现】CVE-2024-30088 Windows内核提权漏洞 | 附poc 原创 loser 网安鲲为帝 2024-07-06 17:13 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 文 章 作 者 及 本
继续阅读GeoServer 远程代码执行漏洞(CVE-2022-24816) 原创 SXdysq 南街老友 2024-07-06 16:15 漏洞简介 GeoServer 是一个用于共享地理空间数据的开源服务器。服务器实现行业标准 OGC 协议,例如 Web 要素服务 (WFS)、Web 地图服务 (WMS) 和 Web 覆盖服务 (WCS)。 GeoServer 附带了 JAI-EXT API 。默认
继续阅读某付费短剧影视小程序后端审计(0day) 原创 Mstir 星悦安全 2024-07-06 16:03 0x00 前言 █ 远山起风又起雾,无人知我来时路 █ 公网上的后端较少,一般都在二级目录下,搜索引擎找不到,实战中可通过小程序查到后端 Fofa:”无铭科技” 框架:Thinkphp 5.0.24,Fastadmin Debug:True 0x01 前台任意文件读取 框
继续阅读CVE-2022-24785 MomentJS 路径遍历的工作原理:详细的漏洞利用指南 Ots安全 2024-07-06 13:45 CVE-2022-24785 描述 Moment.js 是一个 JavaScript 日期库,用于解析、验证、操作和格式化日期。路径遍历漏洞会影响 1.0.1和版本之间的 Moment.js npm(服务器)用户 2.29.1,尤其是当直接使用用户提供的语言环境字符
继续阅读关于 CVE-2024-2961 glibc iconv exploitation (part 2) 注解 船山信安 2024-07-06 13:05 CVE-2024-2961是最近公布出现在iconv中的漏洞。原发现者cfreal也陆续展示了关于它的利用方式[1] [2]。我之前是看过part 1 [1],其中通过使用PHP filters来操作内存的方式相当有趣。在part 1的结尾,作者提
继续阅读「漏洞复现」宏景eHR sduty/getSdutyTree SQL注入漏洞 冷漠安全 冷漠安全 2024-07-06 11:45 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读CVE-2024-36991 漏洞复现 POC 原创 fgz AI与网安 2024-07-06 11:29 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Splunk Enterprise for Windows 任意文件读取漏洞 02 — 影响
继续阅读ChatGPT for Mac 曝光聊天记录:OpenAI 修补漏洞 flyme 独眼情报 2024-07-06 10:38 上个月,OpenAI 宣布 ChatGPT for Mac 可供所有用户使用。使用官方 ChatGPT 客户端,用户可以快速进行文本对话、生成图像、读取屏幕截图或文件以及搜索对话。然而,即使是像 OpenAI 这样规模的公司,其安全性也存在 漏洞 。ChatGPT for
继续阅读CVE-2024-6376 (CVSS 9.8)MongoDB Compass 存在代码注入漏洞 flyme 独眼情报 2024-07-06 10:38 最近的一项发现揭示了 MongoDB Compass 中的一个严重安全漏洞,MongoDB Compass 是一个广泛使用的图形用户界面 (GUI),用于查询、聚合和分析 MongoDB 数据。这款工具以其强大的功能和在 macOS、Window
继续阅读FOSCAM R4M WIFI 摄像头 RCE漏洞分析 3bytes 3072 2024-07-06 10:30 「摘要」 在Foscam后台运行的二进制文件之一UDTMediaServer中存在一个基于栈的溢出漏洞。这个漏洞可能被利用来执行任何命令。 「厂商回应」 厂商已经发布了更新版本,https://www.foscam.com/downloads/firmware_details.html
继续阅读GoT指纹识别、漏洞POC管理扫描工具 AgentVirus 夜组安全 2024-07-06 10:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在只
继续阅读工控威胁预警,罗克韦尔(Rockwell)设备存在两个重大漏洞 疯狂冰淇淋 FreeBuf 2024-07-06 09:30 近日,微软在 Rockwell PanelView Plus 设备中发现并披露了两个重大漏洞,未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务(DoS)攻击。 微软的调查结果揭露了在广泛使用这些人机界面(HMI)图形终端的工业领域存在的严重安全漏洞,凸显了在
继续阅读FreeBuf 周报 | Juniper Networks曝身份验证漏洞;Xbox全球瘫痪 疯狂冰淇淋 FreeBuf 2024-07-06 09:30 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 谷歌拟允许独立 Web应用访问敏感的USB设备 WebUSB 是一种 Ja
继续阅读【 1day | 漏洞复现】锐明技术Crocus系统 Service.do 任意文件读取漏洞 小明同学 小明信安 2024-07-06 09:00 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删
继续阅读ARL联动AWVS实现自动化漏洞扫描 原创 马云卓 洞源实验室 2024-07-05 20:00 0x01 前言 很多场景下需要大范围的扫描漏洞和快速排查互联网暴露面的漏洞,需要使用这种自动化的手段,常规 渗透测试的找互联网暴露面是,域名>子域名>IP>C段>端口,可以手动收集,也可以借助一些网络搜索 引擎(fofa、zoomeye、hunter等)然后进行指纹识别、存活
继续阅读【安全圈】已发布补丁!微软披露 Rockwell PanelView Plus 两大漏洞 安全圈 2024-07-05 19:00 关键词 系统漏洞 近日,微软在 Rockwell PanelView Plus 设备中发现并披露了两个重大漏洞,未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务(DoS)攻击。 微软的调查结果揭露了在广泛使用这些人机界面(HMI)图形终端的工业领域存在
继续阅读【成功复现】D-Link GO-RT-AC750 安全漏洞(CVE-2024-22853) 原创 弥天安全实验室 弥天安全实验室 2024-07-05 18:55 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link GO-RT-AC750是中国友讯(D-Link)公司的一款无线双频简易路由器。D-
继续阅读命令执行无回显利用总结 附工具 两年半网安练习生 2024-07-05 18:32 免责声明 安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止
继续阅读XXL-JOB默认accessToken身份认证绕过RCE 原创 Arvin Timeline Sec 2024-07-05 18:30 关注我们❤️,添加星标🌟,一起学安全!作者:Arvin@Timeline Sec 本文字数:2867阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务
继续阅读荣耀加冕 │ 梆梆安全荣膺NVDB「2023年度漏洞报送最具贡献单位」 梆梆安全 梆梆安全 2024-07-05 18:15 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)对2023年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰。梆梆安全凭借在移动安全领域的技术实力荣膺「2023年度漏洞报送最具贡献单位」。 网络安全威胁和漏洞信息共享平台NVDB(National Vul
继续阅读Apache Tomcat 拒绝服务漏洞(CVE-2024-34750)安全风险通告 奇安信 CERT 2024-07-05 16:07 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Tomcat 拒绝服务漏洞 漏洞编号 QVD-2024-25223,CVE-2024-34750 公开时间 2024-07-03 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读漏洞扫描工具 — GoT(7月5日更新) AgentVirus Web安全工具库 2024-07-04 22:34 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读GeoServer property RCE注入内存马 原创 yzddMr6 网络安全回收站 2024-07-04 21:07 背景 GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户
继续阅读【漏洞预警】XWiki Platform 未授权 代码注入漏洞 (CVE-2024-21650) cexlife 飓风网络安全 2024-07-04 20:51 漏洞详情:XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。XWiki Platform存在安全漏洞,该漏洞源于user registration功存在一个代码注入漏洞,未经授权的攻击者可以利用
继续阅读【成功复现】GeoServer 远程代码执行漏洞(CVE-2024-36401) cexlife 飓风网络安全 2024-07-04 20:51 漏洞描述: GeoServer是一款开源地图服务器,主要用于发布、共享和处理各种地理空间数据,其依赖GeoTools库来处理地理空间数据,受影响版本的 GeoTools 库 API 在处理要素类型的属性名称时,会将这些属性名称不安全地传递给commons
继续阅读[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞 原创 漏洞预警机器人 安全光圈 2024-07-04 20:39 宏景eHR LoadOtherTreeServlet SQL注入漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关
继续阅读