【漏洞预警】Ivanti CloudServiceAppliance 未授权 路径遍历漏洞CVE-2024-8963 cexlife 飓风网络安全 2024-09-23 23:00 漏洞描述: Ivanti Cloud Services Appliance(Ivanti CSA)是美国Ivanti公司的一种Internet应用程序,可通过 Internet 提供安全的通信和功能, Ivanti C
继续阅读【相关分享】记一次某985高校的漏洞挖掘 原创 隼目安全 隼目安全 2024-09-23 21:39 点击蓝字 关注我们 免责声明 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 先
继续阅读Android活动(Activities)Exploiting 技术 原创 一个不正经的黑客 一个不正经的黑客 2024-09-23 21:00 Activities Exploiting 技术 在本文中,我将详细解释如何利用安卓Activity组件的各种方式。让我们直接进入正题吧…… 什么是Activity? 什么是Activity? – Activity是Android应用程序中的
继续阅读漏洞推送|数字通云平台智慧政务存在登录绕过漏洞 小白菜安全 2024-09-23 20:39 漏洞描述 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平,推动电子政务向更高层次发展。数字通云平台 智慧政务OA login接口存在登录绕过漏洞,攻击者可利用该漏洞获取管理员权限。 资产
继续阅读速修复!FreeBSD 中存在严重漏洞 DO SON 代码卫士 2024-09-23 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FreeBSD 发布安全公告称,bhyve 管理程序的USB仿真功能中存在严重漏洞CVE-2024-41721,CVSS评分为9.8。具体而言,当该USB仿真功能配置为仿真虚拟USB控制器 (XHCI) 上的设备时,就会触发该漏洞。它可导致恶意代码
继续阅读CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞 Bill Toulas 代码卫士 2024-09-23 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。 该
继续阅读雷神众测漏洞周报2024.09.18-2024.09.22 原创 雷神众测 雷神众测 2024-09-23 17:17 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读安全热点周报:时隔一周,Ivanti 又公开一云服务设备漏洞正面临在野利用 奇安信 CERT 2024-09-23 17:07 安全资讯导视 • 《网络安全标准实践指南——敏感个人信息识别指南》发布 • 供应商泄露用户数据,美国电信巨头AT&T被罚超9000万元 • 黎巴嫩寻呼机遭远程攻击大规模爆炸,致使9人死亡数千人受伤 PART01 漏洞情报 1.GitLab SAML认证绕过漏洞安
继续阅读漏洞通告 | Ivanti Cloud Service Appliance 路径穿越漏洞 原创 微步情报局 微步在线研究响应中心 2024-09-23 15:58 漏洞概况 Ivanti Cloud Service Appliance (CSA) 是 Ivanti 提供的一款本地部署的虚拟设备,旨在简化和增强 Ivanti 产品与云服务的集成。 微步情报局于近日获取到Ivanti Cloud Se
继续阅读ZeroLogon 到 NoPac 漏洞:Black Basta的漏洞利用武器库 安全客 2024-09-23 14:43 在网络安全领域,漏洞利用的演变与黑客组织的攻击手段息息相关。近年来,ZeroLogon(CVE-2020-1472)与 NoPac(CVE-2021-36761)漏洞的利用引起了广泛关注,尤其是由黑客组织 Black Basta的攻击活动。自 2022 年 4 月以来,Bla
继续阅读建了个SRC专项漏洞知识库 Z2O安全攻防 2024-09-22 20:28 建立了一个 src专项圈子,内容包含src漏洞知识库、src挖掘技巧、src视频教程等,一起学习赚赏金技巧,以及专属微信群一起挖洞 圈子专注于更新src相关: 1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例 2、分享src优质视频课程 3、分享src挖掘技巧tips 4、小群一起挖洞 图片 图片 图片 图
继续阅读“PKfail”漏洞曝光:全球近千种设备安全启动机制失效 商密君 2024-09-22 18:49 近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥,容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中,一项涉及设备制造行业安全启动(Secure Boot)保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的
继续阅读nuclei+ai 解放双手,自动刷洞,同时poc共享!! 朱厌安全 2024-09-22 18:24 背景 之前在github上看到了nuclei新推出的一个浏览器插件,nuclei ai可以利用浏览器浏览器和ai直接对poc数据包生成合适的yaml文件,在星球内进行代shua poc的时候发现很多师傅不会写yaml,故写这篇文章,希望可以利用这个浏览器插件方便大家~~ 2. 项目地址 项目地址
继续阅读【海外SRC赏金挖掘】供应链攻击,通过依赖投毒实现RCE(二) — PyPI 原创 fkalis fkalis 2024-09-22 17:36 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,骚姿势,又或者是苛刻环境的
继续阅读SRC挖掘实战之某勒索病毒解密平台命令执行 Khan安全团队 2024-09-22 16:38 注:漏洞已经上报厂商并且已完成修复。目标:https://lesuobingdu.xxx.cn/ 访问目标网站功能点居少,一般这种只有几个功能的单页很多人会忽略一些功能点 分别测试查询和解密的功能,发现系统会将上传后的文件带入内部病毒库去查询,然后对比md5值或者识别文件内容来判断病毒再响应出解密的方案
继续阅读漏洞推送|【0day】深大智能科技有限公司管控平台getAreaInfo存在SQL注入漏洞 小白菜安全 2024-09-21 20:21 漏洞描述 智游宝是连接景区与分销商(OTA、旅行社)的公正、权威、可信的第三方服务平台。作为国内智慧景区第三方技术服务支撑平台,智游宝为景区提供了可控制分销商的管理环境,安全、便捷、高效地实现了电子票的生产、发送、检票、退换票以及票款回收等技术环节;为分销商提供
继续阅读【安全圈】速更新!GitLab发布更新修复CVSS满分漏洞 安全圈 2024-09-21 19:01 关键词 GitLab 一、 漏洞介绍 GitLab发布社交媒体版(CE)及企业版(EE)的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新,其中修补CVSS风险程度达到满分(10分)的漏洞CVE-2024-45409,这项漏洞能用于绕过SAML身份验证机制,存在于Ru
继续阅读【漏洞通告】Ivanti Endpoint Manager 反序列化漏洞(CVE-2024-29847) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-09-21 17:47 漏洞名称: Ivanti Endpoint Manager 反序列化漏洞(CVE-2024-29847) 组件名称: Ivanti Endpoint Manager 影响范围: Ivanti Endpoint Mana
继续阅读2300$:分享4个高危业务逻辑漏洞 玲珑安全官方 芳华绝代安全团队 2024-09-21 17:33 关注公众号,阅读优质漏洞挖掘文章 前言 该目标程序是一家提供浏览器服务的公司,其核心功能是网页抓取和多账户登录操作,类似于浏览器中的隐身模式,但更加强大和高效。通过该平台,用户可以轻松管理并同时运行数百个隐身浏览器实例,而不需要复杂的配置。 值得注意的是, 该应用仅提供付费订阅计划。个人用户的订
继续阅读「漏洞复现」灵当CRM marketing/index.php SQL注入漏洞 冷漠安全 冷漠安全 2024-09-21 15:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平
继续阅读某最新微信广告任务平台存在任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2024-09-21 12:29 点击上方 蓝字关注我们 并设为 星标 0x00 前言 源码简介:本平台基于 Thinkphp3.2 框架精心打造,确保系统稳定、安全、高效运行。核心功能:第三方个人免签支付:无缝对接支付接口,支持微信、支付宝等多种支付方式,让交易更便捷。VIP 等级充值:提供不同等级的 VIP 会员
继续阅读一款用于检测jsonp及cors漏洞的burp插件 yuebusao 夜组安全 2024-09-21 10:30 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友
继续阅读Broadcom 修补紧急 VMware vCenter RCE 漏洞 独眼情报 2024-09-21 10:15 Broadcom 已 发布 更新以解决 VMware vCenter Server 中可能导致远程代码执行的严重漏洞。该漏洞编号为 CVE-2024-38812,CVSS 评分为 9.8,与 DCE/RPC 协议中的缓冲区溢出有关。 据开发人员称,具有网络访问权限的攻击者可以通过发送
继续阅读ScopeSentry-资产测绘、信息收集、漏洞扫描工具 黑白之道 2024-09-21 08:57 网址 • 官网:https://www.scope-sentry.top • Github: https://github.com/Autumn-27/ScopeSentry • 扫描端源码:https://github.com/Autumn-27/ScopeSentry-Scan 介绍 Scop
继续阅读警惕风险突出的100个高危漏洞(下) 安小圈 2024-09-21 08:45 安小圈 第507期 高危漏洞 风险(下) 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是
继续阅读【已复现】Ivanti Endpoint Manager 反序列化致远程代码执行漏洞(CVE-2024-29847) 长亭安全应急响应中心 2024-09-20 20:19 Ivanti Endpoint Manager(EPM) 是一款企业级的设备管理解决方案,提供设备配置、补丁管理和软件分发等功能。2024 年 9 月,互联网公开披露了该系统中的一个远程代码执行漏洞(CVE-2024-2984
继续阅读微软SQL服务器漏洞被用于攻击承包商软件 Dark Reading 代码卫士 2024-09-20 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Huntress 公司的安全研究人员提到,威胁行动者们正在利用管路系统、HVAC、混凝土子行业中的活跃利用,攻击建筑行业一般承包商常用的Foundation会计软件。 研究人员最初在9月14日追踪活动时发现该威胁,他们提到,“引起我们
继续阅读WPS的漏洞原理解析【黑客渗透测试零基础入门必知必会】 龙哥 龙哥网络安全 2024-09-20 17:59 前言 WPS(Wi-Fi Protected Setup,Wi-Fi保护设置)是由 Wi-Fi联盟推出的全新Wi-Fi安全防护设定标准。该标准推出的主要原因是为了解决长久以来无线网络加密认证设定的步骤过于繁杂之弊病,使用者往往会因为步骤太过麻烦,以致干脆不做任何加密安全设定,因而引发许多安
继续阅读macOS 日历 0-Click RCE 漏洞 Mikko Kenttälä 合规渗透 2024-09-20 17:38 from:Mikko Kenttälä 我在 macOS 日历中发现了一个零点击漏洞,该漏洞允许攻击者在日历沙箱环境中添加或删除任意文件。这可能会导致许多不好的事情,包括恶意代码执行,这些代码可以与照片安全保护规避相结合,从而危及用户的敏感照片 iCloud 照片数据。Appl
继续阅读易行网安学习平台:3000+ POC文章,等你来“取经” 北京路劲科技有限公司 2024-09-20 17:37 在这个数字化时代,网络安全威胁如影随形,每一次点击都可能隐藏着未知的风险。为了在这场没有硝烟的战争中立于不败之地,掌握扎实的网络安全技能和实战经验成为了每位从业者的必修课。今天,要向大家隆重介绍一款网络安全领域的必备产品 ——易行网安学习平台,特别是其亮点之一的 POC文章,这里汇聚了
继续阅读