【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告 奇安信 CERT 2024-10-31 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 静态资源权限绕过漏洞 漏洞编号 QVD-2024-43514,CVE-2024-38821 公开时间 2024-10-25 影响量级 万级
继续阅读【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-30 22:23 漏洞描述: ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请
继续阅读【漏洞通告】CyberPanel upgrademysqlstatus接口命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-30 17:59 漏洞名称: CyberPanel upgrademysqlstatus接口命令执行漏洞 组件名称: CyberPanel 影响范围: CyberPanel 2.3.5CyberPanel 2.3.6 漏洞类型: 命令执行 利用条件: 1
继续阅读【漏洞通告】Apache Solr 认证绕过漏洞(CVE-2024-45216) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-30 17:59 漏洞名称: Apache Solr 认证绕过漏洞(CVE-2024-45216) 组件名称: Apache-Solr 影响范围: 5.3.0 ≤ Apache Solr < 8.11.49.0.0 ≤ Apache Solr <
继续阅读这个已存在18年的提权漏洞影响 X.Org 服务器 Michael Larabel 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 X.Org 服务器中存在一个提权漏洞CVE-2024-9632,它已存在18年之久。 该漏洞在2006年发布的 X.Org Server 1.1.1版本中引入,影响 X.Org Server 和 XWayland。向
继续阅读研究员在开源AI和ML模型中发现30多个漏洞 THN 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。 这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Hunt
继续阅读苹果悬赏百万美元查找“苹果智能”安全漏洞 安全内参 2024-10-30 17:38 关注我们 带你读懂网络安全 苹果公司近日发布了备受期待的AI服务“苹果智能”(Apple Intelligence),适用于iPhone、iPad和Mac设备。该服务将随iOS 18.1、iPadOS 18.1和macOS Sequoia 15.1系统一同上线,结合设备端和云端处理的先进技术,以支持复杂的AI任务
继续阅读这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞 数世咨询 2024-10-30 16:00 计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan(智易科技) FMIMG 51AX000J 路由器上。 01 WiFi测试
继续阅读谷歌:2023年披露的被利用漏洞中有70%是零日漏洞 胡金鱼 嘶吼专业版 2024-10-30 15:45 Google Mandiant 安全分析师表示,在 2023 年披露的 138 个被积极利用的漏洞中,有 97 个(70.3%)被用作零日漏洞。 这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前,就已经利用了攻击中的缺陷。 从 2020 年到 2022 年,已修复漏洞与无可用修复
继续阅读【复现】 Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-10-30 11:50 赛博昆仑漏洞安全通告- Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 漏洞描述 Apache Solr 是一个开源的全文搜索引擎平台,基于 Lucene(一个高效的开源搜索库)。它提供了分布式搜索和索
继续阅读可任意文件读取,警惕Solr身份绕过形成的漏洞利用链 原创 微步情报局 微步在线研究响应中心 2024-10-30 11:40 漏洞概况 Apache Solr是一个基于Apache Lucene的开源企业搜索平台。它提供快速可靠的搜索,分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中化配置以及其他功能。 微步情报局于近日获取到Apache Solr 身份认证绕过漏洞情报(https://
继续阅读BinaryAI更新布告|漏洞存在性分析功能上线 原创 腾讯科恩实验室 腾讯科恩实验室 2024-10-30 10:03 BinaryAI(https://www.binaryai.cn)**** 腾讯安全科恩实验室二进制安全智能分析平台—BinaryAI,可精准高效识别二进制文件的第三方组件及其版本号,旨在推动SCA(软件成分分析)技术在DevSecOps、威胁情报、安全研究等应用场景发展。 漏
继续阅读开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周 原创 群秘 君哥的体历 2024-10-30 06:50 0x1本周话题 话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。 A1: 摄像头 + 行为分析?或者手机和电脑的终端 DLP 软件和网络层的 DLP ;摄像头物理视
继续阅读【漏洞预警】CyberPanel upgrademysqlstatus未授权命令注入漏洞 cexlife 飓风网络安全 2024-10-29 23:12 漏洞描述: 开源控制面板CyberPanel存在一个未授权命令注入漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意命令,获取服务器权限。修复建议:正式防护方案:相关厂商已经提交了修复代码,但还未正式发布,用户可以考虑参考官方修复方案进行手动
继续阅读本工具为jeecg框架漏洞利用工具非jeecg-boot! 点击关注→_→ 黑客白帽子 2024-10-29 22:52 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc:
继续阅读【成功复现】Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463) 原创 弥天安全实验室 弥天安全实验室 2024-10-29 18:59 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks Expedition是美国Pa
继续阅读【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新 奇安信 CERT 2024-10-29 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Solr 身份认证绕过漏洞 漏洞编号 QVD-2024-42670,CVE-2024-45216 公开时间 2024-10-16 影响量级 万级 奇安信评级 高
继续阅读Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp Nate Nelson 代码卫士 2024-10-29 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一种新型提示符注入技术可导致任何人绕过 OpenAI 最高阶的语言学习模型中的安全防御措施。 今年5月13日发布的 GPT-4o 要比之前的模型更快、更高效、功能更丰富。它能够以数十种语言处理多种不同形式的输入
继续阅读研究者揭露微软 Windows 内核的操作系统降级漏洞 看雪学苑 看雪学苑 2024-10-29 17:58 近期,SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术,该技术能够操纵Windows 11系统在更新时降级关键系统组件,使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露,现在更多细
继续阅读雷神众测漏洞周报2024.10.21-2024.10.27 原创 雷神众测 雷神众测 2024-10-29 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞 404实验室 知道创宇404实验室 2024-10-29 13:53 2024年10月,VMware修复了一个严重的远程代码执行漏洞CVE-2024-38812 [1],该漏洞存在于vCenter Server的DCE/RPC协议实现中。此漏洞源自堆溢出问题,攻击者可通过发送特制的
继续阅读360漏洞云亮相看雪峰会,携手行业精英共话安全创新 360漏洞云 2024-10-29 10:53 2024年10月23日,备受瞩目的看雪·第八届安全开发者峰会在上海圆满落幕。此次盛会以 “AI时代 安全护航”为主题, 汇聚了来自各个领域的网络安全精英,通过主题演讲、技术讲座和互动讨论,推动了技术交流与合作的深度。 滑动查看更多现场图片 看雪峰会是国内网络安全领域的重要盛会,旨在促进技术交流与合作
继续阅读上周关注度较高的产品安全漏洞(20241021-20241027) 原创 CNVD CNVD漏洞平台 2024-10-29 09:28 一、境外厂商产品漏洞 1、Adobe Commerce不当授权漏洞(CNVD-2024-41467) Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在不当授权漏洞,攻击者可
继续阅读【漏洞预警】Codezips Sales Management System信息泄露漏洞 cexlife 飓风网络安全 2024-10-28 22:33 漏洞描述: 在Cоdеziрѕ Sаlеѕ MаnаɡеmеtSуѕtеm 1.0中发现了一个漏洞,其严重程度被评为“严重”,这个问题影响了文件/аddсuѕtind.рhр中的一些未知功能,通过操纵参数rеfnо,可以导致SQL注入攻击可能从远
继续阅读利用Windows漏洞,攻击者能降级系统组件恢复漏洞 Zicheng FreeBuf 2024-10-28 21:02 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露,而
继续阅读【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势 Z2O安全攻防 2024-10-28 20:58 0x1 前言 浅谈 这篇文章主要是想跟师傅们聊下企业src包括平常的渗透测试和众测等项目中的一个拿分点,特别是如何让新手在挖掘企业src的过程中可以挖到漏洞呢,难点的或者好挖的漏洞都被大佬给交走了,那么小白挖src的方向在哪呢,还有冷门的漏洞挖掘方式怎么样,是不是可以挖掘到漏洞呢。 这篇文章也是和
继续阅读针对 Microsoft Windows 内核的操作系统降级漏洞 信息安全大事件 2024-10-28 19:45 一种新的攻击技术可用于绕过 Microsoft 在完全修补的 Windows 系统上的驱动程序签名强制 ( DSE ),从而导致操作系统 ( OS ) 降级攻击。 “这种绕过允许加载未签名的内核驱动程序,使攻击者能够部署自定义 Rootkit ,这些 Rootkit 可以中和安全控制
继续阅读【安全圈】利用Windows漏洞,攻击者能降级系统组件恢复漏洞 安全圈 2024-10-28 19:01 关键词 安全漏洞 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露
继续阅读安全热点周报:UNC5820 威胁集群利用 Fortinet 零日漏洞窃取企业配置数据 奇安信 CERT 2024-10-28 17:06 安全资讯导视 • 美国政府发布首份关于人工智能的国家安全备忘录 • 河南两公司泄露大量敏感数据被罚10万元 • 国家网络安全通报中心:多个与某大国政府有关的境外黑客组织持续攻击国内单位企业 PART01 漏洞情报 1.Fortinet FortiManage
继续阅读【已复现】CyberPanel 远程命令执行漏洞(QVD-2024-44346)安全风险通告 奇安信 CERT 2024-10-28 17:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 CyberPanel upgrademysqlstatus 远程命令执行漏洞 漏洞编号 QVD-2024-44346 公开时间 2024-10-27 影响量级 万级 奇安信评级 高危
继续阅读