【漏洞预警】Alibaba Nacos Jraft未授权任意文件写入漏洞
【漏洞预警】Alibaba Nacos Jraft未授权任意文件写入漏洞 cexlife 飓风网络安全 2024-08-22 23:32 漏洞详情:监测到Alibaba Nacos发布新版本,其中修复了一个Jraft端口(默认值7848)任意文件读写的漏洞,未经授权的攻击者可以通过此漏洞进行Nacos Server所在节点的文件读写。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本安全版
继续阅读月度归档: 2024 年 8 月
Google 修复了在野外积极利用的高严重性 Chrome 漏洞
Google 修复了在野外积极利用的高严重性 Chrome 漏洞 信息安全大事件 2024-08-22 20:34 谷歌已经推出了安全修复程序,以解决其Chrome浏览器中一个严重性高的安全漏洞,它表示该漏洞已在野外受到积极利用。 该漏洞被跟踪为 CVE-2024-7971,被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。 根据 NIST 国家漏洞数据库 (
继续阅读攻防过半:最能打的竟然不是0day?
攻防过半:最能打的竟然不是0day? 原创 ThreatBook 微步在线 2024-08-22 20:04 攻防大战过半,赛博世界虽未火力全开,但依旧波诡云谲,充满刀光剑影。话不多 说,来看看过去一个月,有哪些新的攻击手段和趋势: 攻击木马 CS超90%,Linux新型特马增加 微步云沙箱S首月捕获CobaltStrike样本 6000+,红队工具样本1500+。 攻击木马仍以CobaltStr
继续阅读某系统任意命令执行漏洞
某系统任意命令执行漏洞 原创 儒道易行 儒道易行 2024-08-22 19:17 我举手向苍穹,并非一定要摘星取月,我只是需要这个向上的、永不臣服的姿态。 漏洞描述 某系统中的网络测试模块中存在命令执行漏洞,可通过命令拼接执行任意命令 漏洞实战 访问漏洞url: 登录后台(存在访客用户默认账号密码 guest/guest): 使用 ; 命令拼接执行任意命令: 漏洞利用poc: 漏洞证明 文笔生疏
继续阅读「漏洞复现」同享人力资源管理系统-TXEHR V15 SFZService.asmx SQL注入漏洞
「漏洞复现」同享人力资源管理系统-TXEHR V15 SFZService.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-08-22 19:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使
继续阅读Litespeed曝高速缓存漏洞,威胁数百万WordPress网站
Litespeed曝高速缓存漏洞,威胁数百万WordPress网站 小薯条 FreeBuf 2024-08-22 19:02 近日,有研究人员在插件的用户模拟功能中发现了未经身份验证的权限升级漏洞 (CVE-2024-28000),该漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列检查引起的。这个漏洞可能会让攻击者在创建恶意管理员账户后接管数百万个网站。 LiteSp
继续阅读【漏洞预警】Google Chrome V8 类型混淆漏洞(CVE-2024-7971)
【漏洞预警】Google Chrome V8 类型混淆漏洞(CVE-2024-7971) 原创 聚焦网络安全情报 安全聚 2024-08-22 19:01 高 危 公 告 近日,安全聚实验室监测到 Google Chrome V8 存在类型混淆漏洞,编号为:CVE-2024-7971,漏洞评分:8.8 此漏洞允许攻击者通过诱导受害者访问恶意HTML页面,导致浏览器崩溃、信息泄露或执行任意代码。
继续阅读魔形女再袭?最新Android通杀漏洞CVE-2024-31317分析与利用研究
魔形女再袭?最新Android通杀漏洞CVE-2024-31317分析与利用研究 Flanker Flanker论安全 2024-08-22 18:56 摘要 本文分析了CVE-2024-31317这个Android用户态通杀漏洞的起因,并分享了笔者的利用研究和方法。通过这个漏洞,我们可以获取任意uid的权限,近似于突破Android沙箱获取任意app的权限。这个漏洞具有类似于笔者当年发现的 魔形
继续阅读某户oa sql注入漏洞后续利用(部分)
某户oa sql注入漏洞后续利用(部分) goddemon goddemon的小屋 2024-08-22 18:39 前言: 有朋友在 问,也恰好有空,那就写一篇分享下吧。 这个oa网上遇到的poc的话,大部分情况是sql没修,权限绕过修复了导致之前爆出去的上传漏洞打不了。 但是可以利用前台的sql注入dump出密码,进而去打。 正文: 这里只给一个pic.jsp 万户的数据库账户表默认为tMa
继续阅读SourceCheck V3.5焕新登场 | 恶意代码检测与组件版本兼容分析能力全面升级
SourceCheck V3.5焕新登场 | 恶意代码检测与组件版本兼容分析能力全面升级 开源网安 2024-08-22 18:15 开源组件安全及合规管理平台SourceCheck,可对企业第三方组件进行安全分析与管控,避免软件带病上线。近日, SourceCheck V3.5焕新登场,提升恶意代码检测与批量检测水平、强化组件版本兼容能力、打造可视化漏洞评分体系 ,助力企业提升开源治理能力,进一
继续阅读车载可用摄像头漏洞研究
车载可用摄像头漏洞研究 谈思实验室 2024-08-22 18:07 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 硬件探索 由于没有外壳与系统进行交互,也没有明文固件可供分析,我们不得不借助内存转储来进行任何工作。该型号内部由 2 块 PCB 组成,有屏蔽罩隐藏芯片组。拆除后,可以识别芯片组制造商和型号。SoC 是赛普拉斯(现为英飞凌)CYW43012,辅以 OA00804-B56G
继续阅读零基础入门Android漏洞挖掘
零基础入门Android漏洞挖掘 釉子 看雪学苑 2024-08-22 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌握漏洞挖掘技能不仅有
继续阅读谷歌紧急修复今年第9个已遭利用0day
谷歌紧急修复今年第9个已遭利用0day Sergiu Gatlan 代码卫士 2024-08-22 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布Chrome 紧急更新,修复了一个已遭利用的0day漏洞 (CVE-2024-7971)。 该漏洞是一个高危0day漏洞,由 Chrome V8 JavaScript 引擎中的一个类型混淆弱点引发。微软威胁情报中心和微软安全响
继续阅读GitHub Enterprise Server 中存在严重的认证漏洞
GitHub Enterprise Server 中存在严重的认证漏洞 Ryan Naraine 代码卫士 2024-08-22 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 紧急修复了位于 GitHub Enterprise Server 产品中的三个安全缺陷,并提醒称黑客可利用其中一个漏洞获得站点管理员权限。 其中最严重的是CVE-2024-6800,可导致攻
继续阅读苹果macOS版微软应用发现8个漏洞,警惕黑客恶意操作
苹果macOS版微软应用发现8个漏洞,警惕黑客恶意操作 网络安全应急技术国家工程中心 2024-08-22 17:51 近期,Cisco Talos研究称,macOS版微软应用存在八个漏洞。利用TCC框架的弱点,黑客可以绕过权限执行恶意操作。 TCC(Transparency, Consent, and Control)是一种安全策略,它要求应用程序在访问用户数据和系统资源之前必须获得用户的同意,
继续阅读【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-7971)安全风险通告
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-7971)安全风险通告 奇安信 CERT 2024-08-22 17:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8 类型混淆漏洞 漏洞编号 QVD-2024-37591,CVE-2024-7971 公开时间 2024-08-21 影响量级 千万级 奇安信评级
继续阅读Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告
Spring Security@AuthorizeReturnObject权限绕过漏洞风险通告 你信任的 亚信安全 2024-08-22 16:55 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Spring Security @AuthorizeReturnObject 权限绕过漏洞(CVE-2024-38810)。该漏洞发生在应用程序使用@AuthorizeReturnObj
继续阅读微软高危漏洞 CVE-2024-38077 EXP
微软高危漏洞 CVE-2024-38077 EXP 编码安全研究 2024-08-22 13:47 CVE-2024-38077-EXP 基于 伪代码后修复的代码。 有效范围 Windows Server 2025 使用 options: -h,–help show this help message andexit –target_ip TARGET_IP Target
继续阅读漏洞扫描工具 — SBScan
漏洞扫描工具 — SBScan 橘猫学安全 2024-08-22 13:14 0x01 工具介绍 甜心宝贝是一款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。主要功能:内网资产探测、通用漏洞扫描、弱口令爆破。 0x02 安装与使用 1、调高探测与扫描并发 ./SbScan -h 192.168.0.0/16 -wsh 500 –wsp 500 2、
继续阅读错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 | 牛览
错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 | 牛览 安全牛 2024-08-22 12:52 点击蓝字·关注我们 / aqniu 新闻速览 •《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求 •麻省理工首发AI风险管理数据库,全面覆盖777种风险 •英国企业网络威胁态势调查:每4
继续阅读帆软报表 channel 反序列化漏洞分析与利用
帆软报表 channel 反序列化漏洞分析与利用 泾弦安全 泾弦安全 2024-08-22 12:50 国家利益 高于一切 🔥师傅您好: 为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟! 这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线! 感谢您的支持与关注! 💪 免责声明:文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造
继续阅读(CVE-2024-7971) Chrome为0day紧急更新
(CVE-2024-7971) Chrome为0day紧急更新 独眼情报 2024-08-22 11:55 Google 发布了 Chrome 紧急更新(版本 128.0.6613.84/85),以应对一个被积极利用的零日漏洞 (CVE-2024-7971)。此漏洞被归类为 V8 JavaScript 引擎中的类型混淆问题,对用户构成重大风险。 类型混淆漏洞可让攻击者在受害者的机器上执行恶意代码,
继续阅读【中秋团圆,安全相伴】Xray社区PoC悬赏活动邀您共赏月圆之夜!
【中秋团圆,安全相伴】Xray社区PoC悬赏活动邀您共赏月圆之夜! CT Stack 安全社区 2024-08-22 11:55 中秋佳节 MID-AUTUMN FESTIVAL { 海上生明月 天涯共此时 } 中秋 佳节 中秋佳节将至 xray社区在此 向各位师傅致以最诚挚的问候 在这个团圆的时刻 我们不仅庆祝家人的相聚 也不忘守护网络安全的使命 为此,我们特别推出 中秋节特别版PoC悬赏活动
继续阅读iOS 文本字符串错误:几个字符可能会导致 iPhone 崩溃(可以复现成功)
iOS 文本字符串错误:几个字符可能会导致 iPhone 崩溃(可以复现成功) flyme 独眼情报 2024-08-22 11:55 iOS 系统中经常会出现一些会导致系统崩溃的神秘代码,通常这些神秘代码并不会带来安全隐患,因为攻击者无法远程在用户的 iPhone 上输入这些代码。 最新的神秘代码是 “”:: 如果用户尝试在 iPhone 的 Spotlight 搜索或
继续阅读漏洞预警|浙江大华城市安防监控DSS系统存在信息泄露漏洞
漏洞预警|浙江大华城市安防监控DSS系统存在信息泄露漏洞 鲲鹏实验室 天防安全 2024-08-22 11:28 漏洞介绍 近日,天防安全“ 鲲鹏实验室”监测到浙江大华技术股份有限公司 城市安防监控DSS系统存在 信息泄露漏洞,攻击者可利用该漏洞获取所有用户信息。 漏洞编号 CNVD-2024-25769 漏洞评分 5.0 (CVSS v2.0) 影响产品 城市安防监控DSS系统 修复方案 厂商已
继续阅读微软Copilot Studio存在严重的信息泄露漏洞
微软Copilot Studio存在严重的信息泄露漏洞 鹏鹏同学 黑猫安全 2024-08-22 11:27 微软Copilot Studio存在严重的安全漏洞,CVE-2024-38206编号,CVSS评分8.5分。攻击者可以利用漏洞访问敏感信息。漏洞是一种信息泄露漏洞,源于服务器端请求 forgery(SSRF)攻击。微软发布的安全通报中写道:“已认证的攻击者可以绕过Microsoft Cop
继续阅读第101篇:一个绕过5层权限校验的0day漏洞的代码审计分析
第101篇:一个绕过5层权限校验的0day漏洞的代码审计分析 原创 abc123info 希潭实验室 2024-08-21 23:31 Part1 前言 大家好,我是ABC_123 。这是我的第101篇原创技术文章,好久没有给大家分享代码审计类的分析了。前一阵子网友发来一个从流量设备中抓到的0day漏洞,不理解其绕过CAS单点登录及Shiro组件的权限校验 的原理,我也好奇分析了一下,不禁感叹这位
继续阅读第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式
第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式 开发小鸡娃 安全随心录 2024-08-21 22:31 SSRF漏洞 读完需要 6 分钟 速读仅需 2 分钟 视频教程:( https://www.bilibili.com/video/BV1KT421k7ZE ) 主要内容: 1、Java 中发起网络请求的常见类 2、不同类支持的不同协议 3、防御手法 4、绕过手法 /SS
继续阅读CVE-2024-7928 FastAdmin 任意文件读取 全网20w+潜在风险资产 含批量验证脚本
CVE-2024-7928 FastAdmin 任意文件读取 全网20w+潜在风险资产 含批量验证脚本 合规渗透 合规渗透 2024-08-21 21:38 fofa icon_hash="-1036943727" 漏洞复现: poc GET /index/ajax/lang?lang=..//..//application/database HTTP/1.1 Accept:
继续阅读安钥®「漏洞处置标准作业程序(SOP)」征文启示
安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-08-21 21:34 锤炼安全金钥,共筑安全防线 安钥®「漏洞处置标准作业程序(SOP)」征文启示 第一期 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常充满挑战,如同一把把锈蚀难开的锁。 漏洞处置标
继续阅读