CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报 中国信息安全 2024-09-14 17:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷
继续阅读月度归档: 2024 年 9 月
【赏金15000美元】通过监控调试模式实现 RCE
【赏金15000美元】通过监控调试模式实现 RCE 原创 骨哥说事 骨哥说事 2024-09-14 16:40 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景
继续阅读实时更新的漏洞库索引工具推荐
实时更新的漏洞库索引工具推荐 原创 king 信安王子 2024-09-14 16:29 工具背景 随着信息技术的飞速发展,网络攻击的方式和规模日益复杂和多样化,网络安全成为了企业和个人面临的首要问题。各种形式的漏洞利用和网络攻击时有发生,严重威胁着信息系统的安全。因此,漏洞管理成为了维护网络安全的重要组成部分。而现有的漏洞库虽然信息丰富,但由于漏洞的快速更新及其庞大数量,现有工具或资源常常无法及
继续阅读向日葵RCEbypass
向日葵RCEbypass 原创 无问社区 白帽子社区团队 2024-09-14 16:16 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可 免费获取安全技术资料,社区可提供的技术资料覆盖全网,辅助学习的
继续阅读一次简单通用漏洞挖掘
一次简单通用漏洞挖掘 原创 青春计协 青春计协 2024-09-14 15:25 GRADUATION 点击蓝字 关注我们 前言: 挺久没挖洞了,打算看一下工作这边的软件公司有无通用系统,fofa随意搜索了一家发现有个类似钉钉这类的通讯系统,资产还挺多的,因为时间问题就简单测了一下逻辑漏洞; 信息收集: 通过用户手册,直接知道了后台的管理地址,以及默认的用户名和密码等信息; 漏洞测试: A、弱口令
继续阅读万户协同办公平台ezoffice filesendcheck_gd SQL注入漏洞复现及POC
万户协同办公平台ezoffice filesendcheck_gd SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-09-14 14:25 FOFA "Ezoffice" POC GET /defaultroot/modules/govoffice/gov_documentmanager/filesendcheck_gd.jsp;.j
继续阅读【SRC】比较有意思的几个漏洞挖掘记录
【SRC】比较有意思的几个漏洞挖掘记录 红猪 Z2O安全攻防 2024-09-13 21:08 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读某群管理系统存在默认凭据漏洞
某群管理系统存在默认凭据漏洞 原创 儒道易行 儒道易行 2024-09-13 20:00 我们都生活在阴沟里,但仍有人仰望星空。 漏洞实战 访问url: 登录界面如下: 输入默认账号密码: 成功登录: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。 转载声
继续阅读全文干货!Redis漏洞利用详解 (上)
全文干货!Redis漏洞利用详解 (上) 原创 LULU 红队蓝军 2024-09-13 18:10 redis漏洞利用原理 Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。Redis 提供了2种不同的持久化方式,RDB方式和AOF方式. Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密
继续阅读GitLab 提醒注意严重的管道执行漏洞
GitLab 提醒注意严重的管道执行漏洞 Bill Toulas 代码卫士 2024-09-13 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布重要更新,修复多个漏洞,其中最严重的CVE-2024-6678可导致攻击者在某些条件下以任意用户身份触发管道。 新发布的版本17.3.2、17.2.5和17.1.7 同时适用于GitLab 社区版 (CE) 和企业版
继续阅读Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告
Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告 奇安信 CERT 2024-09-13 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 2024-0
继续阅读中秋元月特设百万奖金池!增设10%额外奖金激励和豪华礼品!以洞会友,360漏洞云邀您共赏明月下的安全之美!
中秋元月特设百万奖金池!增设10%额外奖金激励和豪华礼品!以洞会友,360漏洞云邀您共赏明月下的安全之美! 360漏洞云 2024-09-13 15:23 佳节 MID-AUTUMNFESTIVAL 花 好 月 圆 国 安 家 圆 金秋送爽,丹桂飘香,又是一年中秋美好时光,360漏洞云祝各位师傅花好月圆人团聚 ,共享中秋温馨与数字世界安宁! 在这个寓意团圆与守护的佳节里,360漏洞云不忘初心,向白
继续阅读【复现】 Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告
【复现】 Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-09-13 11:34 赛博昆仑漏洞安全通告- Zimbra 未授权远程命令执行漏洞(CVE-2024-45519)风险通告 漏洞描述 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技
继续阅读山石荣获国家信息安全漏洞库CNNVD多项年度大奖
山石荣获国家信息安全漏洞库CNNVD多项年度大奖 NEURON-Akast 山石网科安全技术研究院 2024-09-13 08:34 9月11日下午,作为CCS2024成都网络安全系列活动之一的国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公司、信创企业、高校科研机构的近300名代表参会。 中国信息安全测评中心任
继续阅读【漏洞预警】GitLab CE和EE 权限管理不当漏洞
【漏洞预警】GitLab CE和EE 权限管理不当漏洞 cexlife 飓风网络安全 2024-09-12 23:22 漏洞描述:监测到Gitlab发布安全公告,修复了多个安全漏洞,其中包含一个权限管理不当漏洞,影响GitLab CE/EE从8.14开始到17.1.7之前、从17.2开始到17.2.5之前以及从 17.3开始到17.3.2之前的所有版本,该漏洞允许攻击者在某些情况下以任意用户身份触
继续阅读【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行
【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行 cexlife 飓风网络安全 2024-09-12 23:22 漏洞描述:监测到Adobe ColdFusion发布安全公告,修复了Adobe ColdFusion中的一个反序列化漏洞,该漏洞允许未授权的攻击者通过恶意反序列化数据在服务器上执行任意代码,获取服务器控制权限。修复建议:正式防护方案:厂商已发布补丁修复漏洞,
继续阅读聚焦AI与网络安全漏洞治理 推动国家漏洞库产业协同创新
聚焦AI与网络安全漏洞治理 推动国家漏洞库产业协同创新 原创 安全419 安全419 2024-09-12 19:57 在CCS 2024成都安全系列活动期间,以“进一步推动国家网络安全漏洞治理”为主题的国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办,该活动聚焦人工智能与网络安全漏洞治理相结合,旨在搭建政、产、学、研共同参与的平台,促进产业协同与技术创新。 研讨活动由全国知名学术专家、高校
继续阅读「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞
「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞 冷漠安全 冷漠安全 2024-09-12 18:00 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读Adobe 修复Acrobat Reader 0day漏洞
Adobe 修复Acrobat Reader 0day漏洞 Lawrence Abrams 代码卫士 2024-09-12 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Acrobat Reader 中存在一个RCE 漏洞 (CVE-2024-41869),其 PoC 已公开。 该漏洞是一个严重的释放后使用 (UAF) 漏洞,可导致在打开一个特殊构造的 PDF 文档时造成远程代
继续阅读原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析
原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析 原创 404实验室 知道创宇404实验室 2024-09-12 16:26 作者:Sunflower@知道创宇404实验室 时间:2024年9月12日 1 前言 漏洞名称:Apache OFBiz SSRF to RCE 漏洞影响:version < 18.12.16 CVE:C
继续阅读GitLab身份认证绕过漏洞(CVE-2024-6678)安全风险通告
GitLab身份认证绕过漏洞(CVE-2024-6678)安全风险通告 奇安信 CERT 2024-09-12 11:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-39544,CVE-2024-6678 公开时间 2024-09-11 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.9 威胁类型 身
继续阅读【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行
【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-09-11 23:44 漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意代码,获取服务器控制权限和敏感信息。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读CCS 2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办
CCS 2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办 中国信息安全 2024-09-11 22:59 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 9月11日下午,CCS 2024成都网络安全系列活动──国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公
继续阅读CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办
CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办 CNNVD CNNVD安全动态 2024-09-11 22:05 点击蓝字 关注我们 2024年9月11日下午,CCS2024成都网络安全系列活动──国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公司、信创企业、高校科研机构的近300名代
继续阅读2024-09微软漏洞通告
2024-09微软漏洞通告 火绒安全 火绒安全 2024-09-11 19:59 微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读【安全圈】WhatsApp“阅后即焚”功能曝漏洞,黑客可反复查看
【安全圈】WhatsApp“阅后即焚”功能曝漏洞,黑客可反复查看 安全圈 2024-09-11 19:01 关键词 安全漏洞 据BleepingComputer消息,全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞,该漏洞能允许攻击者多次查看用户发送的“阅后即焚”(View once)内容。 WhatsApp的“阅后即焚”于3年前推出,允许用户发送只能浏览一次的照
继续阅读【安全圈】SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃
【安全圈】SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃 安全圈 2024-09-11 19:01 关键词 安全漏洞 近日,有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766,影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补,并警
继续阅读微软9月补丁星期二到底修复了4个还是5个0day?
微软9月补丁星期二到底修复了4个还是5个0day? 综合编译 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复了79个漏洞,其中7个是“严重”等级,71个是“重要”等级,还有1个是中危等级。虽然和上月相比,漏洞总数差不多;但本次修复的已遭活跃利用的漏洞数量并不寻常。 在这些已修复漏洞中,1个被列为“公开已知”,另外4个是已遭活跃利用
继续阅读Ivanti 修复Endpoint Management 软件中的严重RCE漏洞
Ivanti 修复Endpoint Management 软件中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 修复了位于 Endpoint Management (EPM) 软件中的一个CVSS 满分漏洞,可导致未认证攻击者在核心服务器上获得远程代码执行权限。 Ivanti EPM 帮助
继续阅读【漏洞通告】SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766)
【漏洞通告】SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-09-11 17:41 漏洞名称: SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766) 组件名称: SonicWALL SonicOS 影响范围: SOHO (Gen 5) ≤ 5.9.2.14-12oGen6 Fi
继续阅读