【安全圈】尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本
【安全圈】尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本 安全圈 2024-09-04 19:00 关键词 安全漏洞 近日,Zyxel 发布安全更新,以解决影响其多款商用路由器的关键漏洞,该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261,CVSS v3 得分为 9.8,是一个输入验证故障,由用户提供的数据处理不当引起,允许远程攻击
继续阅读月度归档: 2024 年 9 月
齐向东:“数据三角”的安全体系各自为战,是网络安全最大漏洞
齐向东:“数据三角”的安全体系各自为战,是网络安全最大漏洞 奇安信集团 2024-09-04 18:22 9月4日,第二届网络空间安全(天津)论坛在天津举行。 开幕仪式由天津市副市长,市公安局党委书记、局长王瑛玮主持,天津市委副书记、市长张工,公安部党委委员、副部长陈思源,中央网信办、国家网信办总工程师孙蔚敏,工业和信息化部总工程师赵志国出席并致辞。中国工程院院士邬江兴、中国科学院院士郑建华、卡巴
继续阅读合勤提醒注意路由器中的严重OS命令注入漏洞
合勤提醒注意路由器中的严重OS命令注入漏洞 Bill Toulas 代码卫士 2024-09-04 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤科技发布安全更新,修复了影响多款商业路由器中的一个严重漏洞 (CVE-2024-7261),可能导致未认证攻击者执行OS命令注入。 该漏洞的CVSSv3评分为9.8,是一个因用户提供数据处理不当引发的输入验证漏洞,可导致远程攻击者
继续阅读VMware 修复Fusion中的高危代码执行漏洞
VMware 修复Fusion中的高危代码执行漏洞 Ionut Arghire 代码卫士 2024-09-04 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,虚拟化软件技术厂商 VMware 为 Fusion 管理程序推出安全更新,修复了可导致代码执行的高危漏洞CVE-2024-38811。 该漏洞的CVSS评分为8.8,是一个不安全的环境变量,“VMware Fusi
继续阅读D-Link 不打算修复 DIR-846W 路由器中的这四个RCE漏洞
D-Link 不打算修复 DIR-846W 路由器中的这四个RCE漏洞 Bill Toulas 代码卫士 2024-09-04 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 提醒称,DIR-846W 路由器的所有硬件和固件版本均受四个远程代码执行 (RCE) 漏洞影响,不过由于该产品已达生命周期,因此不予修复。 这四个RCE漏洞中,其中三个是“严重”级别,无需认证
继续阅读航空安全系统曝严重漏洞,黑客可绕过安检进入驾驶舱
航空安全系统曝严重漏洞,黑客可绕过安检进入驾驶舱 关键基础设施安全应急响应中心 2024-09-04 16:20 近日,安全研究人员在航空运输安全系统中发现一个严重漏洞,可允许未经授权人员(例如恐怖分子)绕过机场安检,获得进入飞机驾驶舱的权限。 安全研究人员伊恩·卡罗尔(Ian Carroll)和萨姆·库里(Sam Curry)在FlyCASS系统中发现了这一漏洞。 FlyCASS是一个由第三方提
继续阅读恶意软件利用零日漏洞感染报废的AVTECH IP 摄像机
恶意软件利用零日漏洞感染报废的AVTECH IP 摄像机 关键基础设施安全应急响应中心 2024-09-04 16:20 基于 Corona Mirai 的恶意软件僵尸网络通过 AVTECH IP 摄像机中存在 5 年之久的远程代码执行 (RCE) 零日漏洞进行传播,目前这些摄像机已停产多年,不会收到补丁。 该漏洞由 Akamai 的 Aline Eliovich 发现,编号为 CVE-2024-
继续阅读Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告
Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告 奇安信 CERT 2024-09-04 16:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端请求伪造漏洞 漏洞编号 QVD-2024-38644,CVE-2024-45507 公开时间 2024-09-03 影响量级 万级 奇安信评级 高危 CVSS
继续阅读[24HW总结] 400+漏洞POC汇总
[24HW总结] 400+漏洞POC汇总 原创 kedaya 诸葛安全 2024-09-03 22:31 本文仅供技术分享之用,请勿进行任何非法测试。对于因传播和利用本公众号”诸葛安全”所提供的信息而导致的后果和损失,使用者将承担全部责任。本公众号及作者对此不承担任何法律责任。如有侵权,请及时告知,我们将立即删除并致以诚挚的歉意。 注: 文章中列出的漏洞数据是在特定期间内收
继续阅读sign加密小程序漏洞挖掘
sign加密小程序漏洞挖掘 eeknight 迪哥讲事 2024-09-03 22:00 公众号:安全客资讯平台(ID:anquanbobao)作者:(eeknight) 前言 通过本篇论文,你可以了解两个知识点: 1. sign加密解密 小程序漏洞挖掘 漏洞发现 注册的时候点击一个获取手机号 这里通过burp可以看到微信小程序获取手机号的三个关键参数,decryptData,sessionKey
继续阅读【漏洞预警】vim代码执行漏洞(CVE-2024-45306)
【漏洞预警】vim代码执行漏洞(CVE-2024-45306) cexlife 飓风网络安全 2024-09-03 21:47 漏洞描述: Vim是一个开源的命令行文本编辑器,补丁v9.1.0038优化了光标位置的计算方式,并移除了一个循环,该循环验证光标位置始终指向一行内的某个位置,并且不会因指向行尾之外而变得无效,当时我们认为这个循环是不必要的。然而,这个更改使得光标位置可能保持无效,并指向行
继续阅读Adobe ColdFusion (CVE-2023-26360 入侵了美国联邦民事执行局)漏洞分析,实现反弹思路,
Adobe ColdFusion (CVE-2023-26360 入侵了美国联邦民事执行局)漏洞分析,实现反弹思路, 原创 赛赛 W啥都学 2024-09-03 21:36 这个漏洞分析挺有意思的,也浪费了我不少时间去研究 后面会分享一下我的反弹思路 事件 在2023年12月5日美国网络安全和基础设施安全局 (CISA)发出警告称,黑客利用 Adobe ColdFusion (CVE-2023-2
继续阅读强大的间谍软件漏洞引发新一轮“水坑”攻击
强大的间谍软件漏洞引发新一轮“水坑”攻击 原创 网络研究观 网络研究观 2024-09-03 20:00 近年来,Intellexa 和 NSO Group 等精英商业间谍软件供应商开发了一系列强大的黑客工具,利用罕见且未打补丁的“零日”软件漏洞来入侵受害者设备。 而且, 世界各国 政府越来越多地成为这些工具的 主要客户 ,入侵反对派领导人、记者、活动家、律师等的智能手机。 不过,周四,谷歌威胁分
继续阅读「POC」用友U8-Cloud系统接口RepAddToTaskAction存在SQL注入漏洞
「POC」用友U8-Cloud系统接口RepAddToTaskAction存在SQL注入漏洞 原创 7coinSec 7coinSec 2024-09-03 19:45 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法
继续阅读影响WPS Office的两个任意代码执行漏洞分析
影响WPS Office的两个任意代码执行漏洞分析 三沐 三沐数安 2024-09-03 19:15 在 Windows 版 WPS Office 中发现了一个代码执行漏洞 (CVE-2024-7262),该漏洞正被与韩国结盟的网络间谍组织 APT-C-60 利用。在分析了根本原因后,我们随后发现了另一种利用该错误代码的方法 (CVE-2924-7263)。经过协调披露流程后,这两个漏洞现
继续阅读金和OA C6 jQueryUploadify SQL注入漏洞复现及POC
金和OA C6 jQueryUploadify SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-09-03 19:06 FOFA app="金和网络-金和OA" 漏洞复现 POC POST /C6/JQueryUpload/AjaxFile/jQueryUploadify.ashx HTTP/1.1 Host: Cache-Contr
继续阅读逻辑漏洞——验证码篇
逻辑漏洞——验证码篇 原创 青春计协 青春计协 2024-09-03 19:01 GRADUATION 点击蓝字 关注我们 一、前言: 验证码现在几乎是在任何地方都是随处可见的,不管是登录还是注册大部分均存在 二、图形验证码: A、验证码DOS: 原理:图片的长度和宽度是我们自己可控制的,正常请求的width=130&height=50 原数据较小: 修改后:可以发现数据明显大了 备注:
继续阅读【安全圈】Durex India 的安全漏洞泄露了客户的个人数据
【安全圈】Durex India 的安全漏洞泄露了客户的个人数据 安全圈 2024-09-03 19:00 关键词 数 据 泄露 据报道,英国流行的避孕套和个人润滑剂品牌的当地子公司 Durex India 遭受了一次重大 网络 攻击 ,在网上暴露了敏感的客户信息。 据报道,杜蕾斯印度数据泄露涉及敏感客户 数 据 泄露,这些数据可以通过杜蕾斯印度网站上安全性不足的订单确认页面访问。 暴露的信息包括
继续阅读【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告
【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告 奇安信 CERT 2024-09-03 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Jenkins Remoting 任意文件读取漏洞 漏洞编号 QVD-2024-35669,CVE-2024-43044 公开时间 2024-08-07 影响量级 万级 奇安
继续阅读朝鲜黑客利用Chrome零日漏洞部署Rootkit
朝鲜黑客利用Chrome零日漏洞部署Rootkit 网络安全应急技术国家工程中心 2024-09-03 16:08 朝鲜黑客在使用Windows内核漏洞获得 SYSTEM权限后,利用最近修补的谷歌Chrome零日漏洞(CVE-2024-7971)部署 FudModule Rootkit。 “我们以高可信度评估,观察到CVE-2024-7971漏洞被朝鲜黑客利用,以在加密货币行业获取经济利益。”微软
继续阅读雷神众测漏洞周报2024.08.26-2024.09.01
雷神众测漏洞周报2024.08.26-2024.09.01 原创 雷神众测 雷神众测 2024-09-03 15:52 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240826-20240901)
上周关注度较高的产品安全漏洞(20240826-20240901) 国家互联网应急中心CNCERT 2024-09-03 15:27 一、境外厂商产品漏洞 1、 Mozilla Firefox拒绝服务漏洞(CNVD-2024-36732)**** Mozilla Firefox 是美国 Mozilla 基金会的一款开源 Web 浏览器。 Mozilla Firefox 存在拒绝服务漏洞,该漏洞源于
继续阅读小米中秋活动开始啦,礼盒兑换&漏洞翻倍在等你,冲鸭~
小米中秋活动开始啦,礼盒兑换&漏洞翻倍在等你,冲鸭~ 小米安全中心 小米安全中心 2024-09-03 09:57
继续阅读漏洞推送|用友U8C reservationcomplete存在sql注入可RCE
漏洞推送|用友U8C reservationcomplete存在sql注入可RCE 原创 小白菜安全 小白菜安全 2024-09-02 23:31 漏洞描述 用友U8CRM-/bgt/reservationcomplete.php存在SQL注入漏洞,攻击者可通过此漏洞进行命令执行并且可通过该漏洞绕过登录访问后台。 资产信息 FOFA: title=”用友U8CRM” 漏洞复
继续阅读「漏洞复现」WookTeam searchinfo SQL注入漏洞
「漏洞复现」WookTeam searchinfo SQL注入漏洞 冷漠安全 冷漠安全 2024-09-02 20:51 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读HVV2024POC漏洞核查思路
HVV2024POC漏洞核查思路 原创 数据安全合规交流部落 数据安全合规交流部落 2024-09-02 20:08 2024HVV已告一段,互联网上已经有网友整理好包含今年hvv期间暴露出来的283个漏洞的POC合集,在这个过程中,不少安全运营者肯定想对自己管理的资产进行相关测试确定有没有受影响的漏洞。 下面将介绍如何使用Python脚本,结合基于路径的指纹库,实现WEB指纹识别与漏洞检测。后面
继续阅读某系统存在路径遍历漏洞
某系统存在路径遍历漏洞 原创 儒道易行 儒道易行 2024-09-02 20:00 我深怕自己本非美玉,故而不敢加以刻苦琢磨,却又半信自己是块美玉,故又不肯庸庸碌碌,与瓦砥为伍。 漏洞描述 某系统中存在路径遍历漏洞。远程攻击者可通过发送包含/../的特制URL请求利用该漏洞查看系统上的任意文件。 漏洞实战 访问漏洞url: 构造payload,发送请求包读取文件 漏洞证明: 文笔生疏,措辞浅薄,望
继续阅读【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】
【Nday】短视频矩阵营销系统 user 敏感信息泄露漏洞【附poc】 原创 阿诺 苏诺木安全团队 2024-09-02 19:46 免责声明:本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,若利用本文提供的内容或工具造成任何直接或间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。 fofa title="短视频矩阵营销系统&q
继续阅读红队武器库漏洞利用工具合集 – VulToolsKit
红队武器库漏洞利用工具合集 – VulToolsKit GSDK安全团队 2024-09-02 19:35 01 项目地址 https://github.com/onewinner/VulToolsKit 02 项目介绍 红队武器库漏洞利用工具合集整理 海康威视Hikvision综合漏洞利用工具 大华Dahua综合漏洞利用工具 Nacos综合漏洞利用工具 Vcenter综合漏洞利用工具
继续阅读MSI 文件漏洞的探索
MSI 文件漏洞的探索 Ti TIPFactory情报工厂 2024-09-02 19:12 我们经常遇到 MSI 文件。开发者使用它们来提供和打包自己的程序。此格式比标准 EXE 格式更方便,原因如下: – 能够恢复、安装某些组件 数据存储在结构化的表中,可以通过 API 轻松访问 通过 SCCM、WEB 端点轻松分发 MSI 文件内部可能存在各种漏洞,大部分漏洞都会导致权限提升,既
继续阅读